أعلن فريق بحث الثغرات الأمنية في Google ، Project Zero ، يوم الخميس أنه اكتشف 18 نقطة ضعف تم الكشف عنها علنًا في مجموعة شرائح Exynos من سامسونج ، والتي تُستخدم في الأجهزة المحمولة والأجهزة القابلة للارتداء والسيارات.
أبلغ الفريق عن وجود ثغرات أمنية في أجهزة مودم Exynos في أواخر عام 2022 وأوائل عام 2023. وفقًا للفريق ، فإن أربعة من الثغرات الأمنية الـ18 التي تم الكشف عنها علنًا هي الأكثر خطورة لأنها تسمح بتنفيذ التعليمات البرمجية عن بُعد من الإنترنت إلى النطاق الأساسي.
أوضحت شركة Samsung أن الثغرة الأمنية في تنفيذ التعليمات البرمجية من الإنترنت إلى النطاق الأساسي عن بُعد تسمح للمهاجمين بخرق الأجهزة المعرضة للخطر عن بُعد دون تدخل المستخدم.
وفقًا لتيم ويليس ، رئيس Project Zero ، فإن رقم هاتف الضحية هو المعلومات الوحيدة اللازمة لشن هجوم. والأسوأ من ذلك أن المهاجمين المتطورين يمكنهم بسهولة إنشاء ثغرات يمكن أن تصيب الأجهزة المعرضة للخطر عن بُعد دون تنبيه الهدف.
"نظرًا للجمع النادر للغاية لمستوى الوصول الذي توفره هذه الثغرات الأمنية والسرعة التي نعتقد أنه يمكننا بها إنشاء برمجيات إكسبلويت موثوقة ، فقد حددنا أربع ثغرات تسمح بتنفيذ التعليمات البرمجية عن بُعد من الإنترنت. وقد قرر إجراء استثناءات للسياسة لتأخير الكشف عن مجالات الجنس "، قال ويليس. أساسيات».
نقاط الضعف الـ 14 المتبقية ليست حرجة ، لكنها لا تزال تشكل خطرًا. يتطلب الاستغلال الناجح الوصول المادي إلى الأجهزة أو مشغل ضار لشبكة الهاتف المحمول.
استنادًا إلى قائمة الشرائح المتأثرة التي قدمتها Samsung ، تشمل قائمة الأجهزة المتأثرة هواتف Samsung الذكية بما في ذلك سلسلة (Galaxy S22) و (Galaxy M33) و (Galaxy M13) و (Galaxy M12) بما في ذلك على سبيل المثال لا الحصر: و (Galaxy A71) و (Galaxy A53) و (Galaxy A33) و (Galaxy A21) و (Galaxy A13) و (Galaxy A04).
وتشمل القائمة أيضًا أجهزة Vivo المحمولة بما في ذلك (Vivo S16) و (Vivo S15) و (Vivo S6) و (Vivo X70) و (Vivo X60) و (Vivo X30).
إلى جانب هواتف Google الذكية (Pixel 6) و (Pixel 7). يتضمن أيضًا الأجهزة القابلة للارتداء التي تستخدم مجموعة شرائح (Exynos W920) والمركبات التي تستخدم مجموعة شرائح (Exynos Auto T5123).
قدمت Samsung بالفعل تحديثات أمنية إلى البائعين الآخرين الذين يعالجون هذه الثغرات الأمنية للشرائح المتأثرة ، لكن التصحيحات ليست عامة وقابلة للتطبيق على جميع المستخدمين المتأثرين.
تختلف الجداول الزمنية لإصلاح الأجهزة باختلاف الشركة ، ولكن على سبيل المثال ، عالجت Google ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في الهواتف الذكية المتأثرة (Pixel) في تحديثها الأمني في مارس 2023.
ومع ذلك ، حتى يتوفر التصحيح ، يمكن للمستخدمين تعطيل Wi-Fi و Voice-over-LTE (VoLTE) لإزالة ناقل الهجوم ، مما يسمح باستغلال محاولات استهداف مجموعة شرائح Exynos من سامسونج في أجهزتهم.
أكدت Samsung أيضًا قرار فريق (Project Zero) ، مشيرة إلى أنه "يمكن للمستخدمين تعطيل اتصال WiFi و VoLTE للتخفيف من تأثير هذه الثغرة الأمنية."
وأضاف ويليس: "كما هو الحال دائمًا ، نشجع المستخدمين النهائيين على تحديث أجهزتهم في أسرع وقت ممكن لضمان تشغيلهم لأحدث إصدار يعمل على إصلاح كل من نقاط الضعف المكتشفة وغير المكتشفة".
إرسال تعليق