A keresőóriás biztonsági csapata könnyen kihasználható, ám rengeteg modellnél még nem javított hibákkal kapcsolatban kongatta meg a vészharangot.

Ritkaságszámba megy, amikor biztonsági szakemberek úgy hoznak nyilvánosságra potenciálisan kiaknázható sebezhetőséget, hogy azokat az érintett gyártó nem javította volna ki. Most azonban így tett a Google Project Zero vezetője, aki egy blogbejegyzésben számolt be több olyan samsungos csipeket érintő hibáról, amelyek számos androidos mobiltelefont, viselhető eszközöket, sőt járműveket is könnyű célponttá tehet a hekkerek számára.

A Google biztonsági laborját vezető Tim Willis írása szerint munkatársai a közelmúltban összesen 18 nulladik napi sebezhetőséget találtak és jelentettek a Samsung által gyártott Exynos modemekben, köztük négy olyan, kiemelt súlyosságú hibát, amelyek "csendben és távolról", a mobilhálózaton keresztül veszélyeztethetik az érintett eszközöket.

Az elvégzett tesztek igazolták, hogy ez a négy kritikus szintű sebezhetőség lehetővé teszi a telefonok távolról, felhasználói beavatkozás nélküli kompromittálását. Ráadásul ehhez a rosszindulatú félnek pusztán a kiszemelt áldozat telefonszámára van szüksége.

A hiba kihasználásával a támadó képes távolról kódot futtatni a készüléken, és szinte korlátlan hozzáférést kaphat az érintett eszközön be- és kiáramló adatokhoz, beleértve a mobilhívásokat, szöveges üzeneteket és mobiladatokat is. Mindez teljesen észrevétlenül, "csendben" történik, így a kompromittált telefon tulajdonosának esélye sincs felismerni a bajt.

A Google szakértői szerint tapasztalt hekkereknek mindössze minimális kutatásra és erőfeszítésre lenne szüksége ahhoz, hogy a hibát kihasználó működőképes exploitot alkossanak. Bár maga a hivatalos blogbejegyzés nem tér ki rá, de a Project Zero csapatát erősítő Maddie Stone kutató Twitteren arról számolt be, hogy a hibákat már 90 nappal ezelőtt jelentették, ám mostanra sem készültek el a szükséges patch-ek.

Ezekkel az eszközökkel csak óvatosan

Az érintett eszközök között van rengeteg Samsung mobil (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04), több Vivo telefon (S16, S15, S6, X70, X60 és X30), a Google saját Pixel 6 és 7-es készülékei, illetve Exynos W920-at használó hordozható eszközök és a Exynos Auto T5123-mal szerelt járművek is.

A Google Project Zero felhívja a felhasználók figyelmét arra, hogy a fenti termékek gyártói eltérő menetrendben juttathatják el a védelmet biztosító frissítéseket az érintett eszközökre. (A Google természetesen a maga részéről már gondoskodott a Pixelek javításáról.)

Amíg nem készül el minden patch, a felhasználók annyit tehetnek, hogy kikapcsolják a Wi-Fi hívások lehetőségét, illetve letiltják a Voice-over-LTE funkciót is. Ezek együttesen garanciát jelentenek arra, hogy a hekkerek nem tudják kihasználni a most nyilvánosságra hozott hibákat.

A Google szerint a fennmaradó 14 sebezhetőség kevésbé súlyos, mivel ezekhez a támadónak vagy fizikailag birtokolnia kéne a készüléket, vagy kiemelt hozzáféréssel kellene rendelkeznie a mobilszolgáltató rendszereihez.

Biztonság

TeslaMate-fiókok szivárogtatnak érzékeny információkat a Teslákról

Ez most kivételesen nem amiatt van, mert Elon Muskot nagyon leköti az X felemeléséért és a Mars meghódításáért vívott küzdelme.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.