Google heeft een ernstige kwetsbaarheid ontdekt in de beveiliging van Samsung-smartphones

Er is een ernstige kwetsbaarheid ontdekt in de Exynos-chips van Samsung. Zuid-Koreaanse gigant stelt uitrol van patch uit?

Sinds een aantal jaren krijgen de Exynos-chips van Samsung veel kritiek omdat ze het aanbod van Qualcomm niet waarmaken: slechte batterijduur, oververhitting, fotoprestaties en met name vrij zwakke videogames. Deze angsten zijn een echte nachtmerrie geworden voor Samsung , en daarom bood de Zuid-Koreaanse gigant de Galaxy S23 in 2023 niet aan met een Exynos-chip. Nu wordt verwacht dat Qualcomm-chips de vlaggenschip-smartphones van Samsung de komende jaren van stroom zullen voorzien, maar dat betekent niet betekent dat de fabrikant heeft besloten ze helemaal te schrappen. Hij reserveert ze voor zijn instap- en middenklasse toestellen.

Ernstige kwetsbaarheid ontdekt in de Exynos-chips van Samsung

En hoewel we kunnen zeggen dat de situatie met deze chips niet slechter kan, heeft het beveiligingsteam van Google Project Zero een ernstige beveiligingsfout gevonden in deze componenten, meer bepaald in de firmware die wordt gebruikt door Exynos-modems. Volgens het rapport zouden hackers dit beveiligingslek kunnen misbruiken door simpelweg een kwaadaardig sms-bericht te sturen of door een telefoon te infecteren door een app met schadelijke code te installeren.

Zodra hackers hun doelwit hebben geïnfecteerd, kunnen ze de microfoon, camera en andere sensoren overnemen. Erger nog, ze hadden toegang tot gevoelige gegevens die op het apparaat waren opgeslagen, inclusief wachtwoorden en foto’s. Een post gepubliceerd op de Project Zero-blog geeft ook aan dat de kwetsbaarheid vrij eenvoudig te exploiteren is, zelfs voor teams met relatief weinig geld.

Samsung stelt uitrol van patch uit?

In totaal heeft het Project Zero-team ten minste 18 verschillende kwetsbaarheden gevonden die van invloed zijn op Exynos-modems. Vier hiervan zijn zeer ernstig en kunnen hackers in staat stellen op afstand toegang te krijgen tot de telefoon zonder tussenkomst van de gebruiker. Ze hebben alleen het telefoonnummer van hun potentiële slachtoffer nodig. Google weigerde details over dit beveiligingslek te delen, omdat het heel gemakkelijk kan worden misbruikt. De rest van de geïdentificeerde kwetsbaarheden zijn vrij klein.

Het Project Zero-team is zich sinds eind 2022 bewust van deze tekortkomingen en heeft Samsung toen gewaarschuwd. De Zuid-Koreaanse gigant heeft echter nog steeds geen oplossing uitgebracht, ondanks dat hij er al meer dan drie maanden van op de hoogte is. Een Project Zero-onderzoeker bekritiseerde Samsung zelfs publiekelijk omdat het traag was met het uitbrengen van de patch.

De lijst met apparaten die door deze kwetsbaarheden zijn getroffen, omvat het vlaggenschip van vorig jaar, namelijk de Samsung Galaxy S23, twee apparaten uit de M-serie – Galaxy M33 en M13, verschillende uit de A-serie – A71, A53, A33, A21s, A13, A12. en A04 – evenals de Google Pixel 6 en Pixel 7. Afgezien van deze apparaten treft deze fout ook verschillende Vivo-apparaten die dezelfde Exynos-modem gebruiken. Dit zijn Vivo S16, s15, S6, X70, X60 en X30. Google zei dat de beveiligingsupdate van maart deze fouten voor Pixel-apparaten zal verhelpen.

Eindgebruikers hebben 90 dagen na het rapport nog steeds geen oplossing…. https://t.co/dkA9kuzTso

— Maddie Stone (@maddiestone) 16 maart 2023