Ritkaságszámba megy, amikor biztonsági szakemberek úgy hoznak nyilvánosságra potenciálisan kiaknázható sebezhetőséget, hogy azokat az érintett gyártó nem javította volna ki. Most azonban így tett a Google Project Zero vezetője, aki egy blogbejegyzésben számolt be több olyan samsungos csipeket érintő hibáról, amelyek számos androidos mobiltelefont, viselhető eszközöket, sőt járműveket is könnyű célponttá tehet a hekkerek számára.

A Google biztonsági laborját vezető Tim Willis írása szerint munkatársai a közelmúltban összesen 18 nulladik napi sebezhetőséget találtak és jelentettek a Samsung által gyártott Exynos modemekben, köztük négy olyan, kiemelt súlyosságú hibát, amelyek "csendben és távolról", a mobilhálózaton keresztül veszélyeztethetik az érintett eszközöket.

Az elvégzett tesztek igazolták, hogy ez a négy kritikus szintű sebezhetőség lehetővé teszi a telefonok távolról, felhasználói beavatkozás nélküli kompromittálását. Ráadásul ehhez a rosszindulatú félnek pusztán a kiszemelt áldozat telefonszámára van szüksége.

A hiba kihasználásával a támadó képes távolról kódot futtatni a készüléken, és szinte korlátlan hozzáférést kaphat az érintett eszközön be- és kiáramló adatokhoz, beleértve a mobilhívásokat, szöveges üzeneteket és mobiladatokat is. Mindez teljesen észrevétlenül, "csendben" történik, így a kompromittált telefon tulajdonosának esélye sincs felismerni a bajt.

A Google szakértői szerint tapasztalt hekkereknek mindössze minimális kutatásra és erőfeszítésre lenne szüksége ahhoz, hogy a hibát kihasználó működőképes exploitot alkossanak. Bár maga a hivatalos blogbejegyzés nem tér ki rá, de a Project Zero csapatát erősítő Maddie Stone kutató Twitteren arról számolt be, hogy a hibákat már 90 nappal ezelőtt jelentették, ám mostanra sem készültek el a szükséges patch-ek.

Ezekkel az eszközökkel csak óvatosan

Az érintett eszközök között van rengeteg Samsung mobil (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04), több Vivo telefon (S16, S15, S6, X70, X60 és X30), a Google saját Pixel 6 és 7-es készülékei, illetve Exynos W920-at használó hordozható eszközök és a Exynos Auto T5123-mal szerelt járművek is.

A Google Project Zero felhívja a felhasználók figyelmét arra, hogy a fenti termékek gyártói eltérő menetrendben juttathatják el a védelmet biztosító frissítéseket az érintett eszközökre. (A Google természetesen a maga részéről már gondoskodott a Pixelek javításáról.)

Amíg nem készül el minden patch, a felhasználók annyit tehetnek, hogy kikapcsolják a Wi-Fi hívások lehetőségét, illetve letiltják a Voice-over-LTE funkciót is. Ezek együttesen garanciát jelentenek arra, hogy a hekkerek nem tudják kihasználni a most nyilvánosságra hozott hibákat.

A Google szerint a fennmaradó 14 sebezhetőség kevésbé súlyos, mivel ezekhez a támadónak vagy fizikailag birtokolnia kéne a készüléket, vagy kiemelt hozzáféréssel kellene rendelkeznie a mobilszolgáltató rendszereihez.