Google 資安團隊 Google Project Zero 公布由三星在 2022 年底至 2023 年初生產的 Exynos 數據晶片出現 18 個零時差漏洞( 0-day vulnerability ),包括 Google Pixel 6 與 Pixel 7 系列裝置、採用 Exynos 數據晶片之特定三星與 Vivo 手機、 Exynos W920 穿戴裝置與 Exynos Auto T5123 車用平台都有可能遭受攻擊,在 18 項漏洞燈中其中有 4 項嚴重安全漏洞,據稱只要透過攻擊基頻即可進行遠端執行代碼,且其中一個漏洞已經被證實僅需知道使用者電話號碼就可執行,在對應的修復完成前, Google Project Zero 建議使用者先關閉,目前 Google Pixel 已經在 3 月份安全更新修復幾項嚴重的漏洞。
▲除了手機的數據晶片以外, Exynos W920 智慧錶平台與 Exynos Auto T5123 車載平台也同樣有這 18 項安全漏洞
若使用的裝置還未修復漏洞,且使用上也有安全疑慮, Google Project Zero 建議在提供 OTA 安全更新前先行關閉 Wi-Fi 通話與 VoLTE 等基於網路的通話模式;另外除了 4 項嚴重的漏洞, Google Project Zero 也將在發現後的 90 天公開剩下的 14 項漏洞,不過由於其它幾項需透過營運商或對裝置能夠直接進行訪問的攻擊者才能執行,在安全性的重要性不及目前發現的四項漏洞。
10 則回應