Nicht nur Samsung-Smartphones: Exynos-Chips mit teils kritischen Zero-Day-Lücken

Inhaltsverzeichnis

Samsung setzt nicht nur in den eigenen Smartphones oder Smartwatches Modemchips der Exynos-Reihe ein, sondern auch andere Hersteller wie Vivo oder Google. Nun hat Googles Project Zero 18 Zero-Day-Sicherheitslücken in diesen Modemchips gefunden, die auch in Fahrzeugen verwendet werden. Vier dieser Lücken werden als besonders kritisch eingestuft, da sie die Ausführung von externen Programmen aus dem Internet auf dem Mobilgerät ermöglichen. Dafür ist lediglich die Kenntnis der Telefonnummer erforderlich.

Die Sicherheitslücken in den Modemchips von Samsungs Exynos-Serie wurden Ende 2022 und Anfang 2023 entdeckt. Die vier kritischen Zero-Day-Lücken (CVE-2023-24033 und drei andere, noch nicht klassifizierte Bugs) erlauben "Internet-to-Baseband Remote Code Execution" (RCE). Damit können Angreifer Software aus dem Internet auf dem attackierten Modem ausführen, ohne dass der Nutzer des Geräts eingreifen kann oder es bemerkt.

Betroffene Exynos-Modemchips und Geräte

Samsung beschreibt CVE-2023-24033 in seinen Sicherheitsupdates so: "Die Baseband-Software überprüft die vom SDP [Session Description Protocol] angegebenen Formattypen des Accept-Type-Attributs nicht ordnungsgemäß, was zu einem Denial-of-Service oder einer Codeausführung im Samsung Baseband-Modem führen kann." Betroffene Chips sind Exynos Modem 5123 und 5300, Exynos 980 und 1080 sowie Exynos Auto T5123.

Googles Project Zero hat auf dieser Basis die folgenden Geräte als höchstwahrscheinlich verwundbar ausgemacht, es könnten aber auch noch mehr betroffen sein:

• Samsung Smartphones der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04,
• Vivo-Smartphones der Reihen S16, S15, S6, X70, X60 und X30,
• Googles Pixel 6 und 7,
• Wearables mit Exynos W920 Chip und
• Fahrzeuge mit Exynos T5123 Chip.

Nur wenige Patches, aber ein Workaround

Allerdings stehen Patches noch nicht für alle betroffenen Geräte zur Verfügung. Samsung selbst stellt Sicherheitsupdates bereit, aber die Patches sind überwiegend noch nicht öffentlich verfügbar und können von den Anwendern nicht selbst eingespielt werden. Google hat CVE-2023-24033 für betroffene Pixel-Geräte im Sicherheitsupdate für März 2023 adressiert. Falls dieses Update noch nicht vom System selbst vorgeschlagen wird, sollte man als Pixel-Nutzer manuell in den Einstellungen nach diesem 459 MByte umfassenden Update suchen (wie beim Pixel 7 Pro dieses Autors).

Solange es noch keinen Patch für die betroffenen Geräte gibt, schlägt Googles Project Zero einen Workaround vor. Anwender sollten WLAN-Telefonie und Voice-over-LTE (VoLTE) in den Einstellungen abschalten. Damit würde das Risiko des Ausnutzens dieser Schwachstellen beseitigt.

Verzögerte Veröffentlichung aufgrund hohen Risikos

Da es sich bei diesen kritischen Sicherheitslücken um eine seltene Kombination handelt aus erweitertem Remote-Zugriff durch die Schwachstelle und der Geschwindigkeit, mit der ein Exploit erstellt werden könnte, hat Googles Project Zero die Informationen anders als üblich nicht nach dem sonst gebräuchlichen Zeitraum publik gemacht. Angreifer könnten sonst mehr von der Veröffentlichung profitieren als Nutzer, erläutern Googles Mitarbeiter. Eigentlich veröffentlicht Googles Project Zero Sicherheitslücken 30 Tage nach Update-Verfügbarkeit, jetzt lässt das Unternehmen den Herstellern mehr Zeit zum Beheben der Schwachstellen.

Neben den vier kritischen Sicherheitslücken hat Google Project Zero vierzehn weitere Schwachstellen gefunden, die als weniger bedrohlich eingestuft wurden. CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 und neun weitere, noch ohne CVE-IDs, könnten zwar trotzdem ein Risiko darstellen. Allerdings würde ein Ausnutzen den manuellen Zugang zum Gerät oder einen böswilligen Mobilfunkanbieter erfordern.

(fds)