Project Zero, tim pemburu bug zero-day Google, menemukan dan melaporkan 18 kerentanan zero-day di chipset Exynos Samsung yang digunakan di perangkat seluler, perangkat yang dapat dikenakan, dan mobil.
Kelemahan keamanan modem Exynos dilaporkan antara akhir 2022 dan awal 2023. Empat dari delapan belas zero-days diidentifikasi sebagai yang paling serius, memungkinkan eksekusi kode jarak jauh dari Internet ke baseband.
Bug Internet-to-baseband remote code execution (RCE) ini (termasuk CVE-2023-24033 dan tiga lainnya masih menunggu CVE-ID) memungkinkan penyerang meretas ponsel di tingkat baseband dari jarak jauh dan tanpa interaksi pengguna.
“Perangkat lunak baseband tidak memeriksa dengan benar jenis format dari atribut tipe-terima yang ditentukan oleh SDP, yang dapat menyebabkan penolakan layanan atau eksekusi kode di Modem Baseband Samsung,” Samsung kata dalam penasihat keamanan yang menjelaskan kerentanan CVE-2023-24033.
Satu-satunya informasi yang diperlukan agar serangan dapat ditarik adalah nomor telepon korban, menurut Tim WillisKepala Proyek Zero.
Lebih buruk lagi, dengan penelitian tambahan minimal, penyerang berpengalaman dapat dengan mudah membuat eksploit yang mampu membahayakan perangkat yang rentan dari jarak jauh tanpa memicu perhatian target.
“Karena kombinasi yang sangat jarang dari tingkat akses yang disediakan oleh kerentanan ini dan kecepatan yang kami yakini dapat dibuat oleh eksploitasi operasional yang andal, kami telah memutuskan untuk membuat pengecualian kebijakan untuk menunda pengungkapan empat kerentanan yang memungkinkan Internet-to – eksekusi kode jarak jauh baseband,” Willis dikatakan.
14 kelemahan yang tersisa (termasuk CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076, dan sembilan lainnya menunggu CVE-ID) tidak terlalu kritis tetapi masih menimbulkan risiko. Eksploitasi yang berhasil membutuhkan akses lokal atau operator jaringan seluler yang berbahaya.
Berdasarkan daftar chipset yang terpengaruh yang disediakan oleh Samsung, daftar perangkat yang terpengaruh termasuk namun kemungkinan tidak terbatas pada:
- Perangkat seluler dari Samsung, termasuk dalam seri S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 dan A04;
- Perangkat seluler dari Vivo, termasuk seri S16, S15, S6, X70, X60, dan X30;
- Seri perangkat Pixel 6 dan Pixel 7 dari Google;
- perangkat yang dapat dikenakan yang menggunakan chipset Exynos W920; Dan
- kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.
Solusi tersedia untuk perangkat yang terpengaruh
Meskipun Samsung telah menyediakan pembaruan keamanan untuk mengatasi kerentanan ini pada chipset yang terpengaruh ke vendor lain, tambalan tersebut tidak bersifat publik dan tidak dapat diterapkan oleh semua pengguna yang terpengaruh.
Jadwal patch setiap produsen untuk perangkat mereka akan berbeda, tetapi, misalnya, Google telah membahas CVE-2023-24033 untuk perangkat Pixel yang terpengaruh dalam pembaruan keamanan Maret 2023.
Pengguna akhir masih belum memiliki tambalan 90 hari setelah laporan…. https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) 16 Maret 2023
Namun, hingga tambalan tersedia, pengguna dapat menggagalkan upaya eksploitasi RCE baseband yang menargetkan chipset Exynos Samsung di perangkat mereka dengan menonaktifkan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) untuk menghapus vektor serangan.
Samsung juga mengonfirmasi solusi Project Zero, dengan mengatakan bahwa “pengguna dapat menonaktifkan panggilan WiFi dan VoLTE untuk mengurangi dampak dari kerentanan ini.”
“Seperti biasa, kami mendorong pengguna akhir untuk memperbarui perangkat mereka sesegera mungkin, untuk memastikan bahwa mereka menjalankan versi terbaru yang memperbaiki kerentanan keamanan yang diungkapkan dan dirahasiakan,” tambah Willis.
