A keresőóriás biztonsági csapata könnyen kihasználható, ám rengeteg modellnél még nem javított hibákkal kapcsolatban kongatta meg a vészharangot.

Ritkaságszámba megy, amikor biztonsági szakemberek úgy hoznak nyilvánosságra potenciálisan kiaknázható sebezhetőséget, hogy azokat az érintett gyártó nem javította volna ki. Most azonban így tett a Google Project Zero vezetője, aki egy blogbejegyzésben számolt be több olyan samsungos csipeket érintő hibáról, amelyek számos androidos mobiltelefont, viselhető eszközöket, sőt járműveket is könnyű célponttá tehet a hekkerek számára.

A Google biztonsági laborját vezető Tim Willis írása szerint munkatársai a közelmúltban összesen 18 nulladik napi sebezhetőséget találtak és jelentettek a Samsung által gyártott Exynos modemekben, köztük négy olyan, kiemelt súlyosságú hibát, amelyek "csendben és távolról", a mobilhálózaton keresztül veszélyeztethetik az érintett eszközöket.

Az elvégzett tesztek igazolták, hogy ez a négy kritikus szintű sebezhetőség lehetővé teszi a telefonok távolról, felhasználói beavatkozás nélküli kompromittálását. Ráadásul ehhez a rosszindulatú félnek pusztán a kiszemelt áldozat telefonszámára van szüksége.

A hiba kihasználásával a támadó képes távolról kódot futtatni a készüléken, és szinte korlátlan hozzáférést kaphat az érintett eszközön be- és kiáramló adatokhoz, beleértve a mobilhívásokat, szöveges üzeneteket és mobiladatokat is. Mindez teljesen észrevétlenül, "csendben" történik, így a kompromittált telefon tulajdonosának esélye sincs felismerni a bajt.

A Google szakértői szerint tapasztalt hekkereknek mindössze minimális kutatásra és erőfeszítésre lenne szüksége ahhoz, hogy a hibát kihasználó működőképes exploitot alkossanak. Bár maga a hivatalos blogbejegyzés nem tér ki rá, de a Project Zero csapatát erősítő Maddie Stone kutató Twitteren arról számolt be, hogy a hibákat már 90 nappal ezelőtt jelentették, ám mostanra sem készültek el a szükséges patch-ek.

Ezekkel az eszközökkel csak óvatosan

Az érintett eszközök között van rengeteg Samsung mobil (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 és A04), több Vivo telefon (S16, S15, S6, X70, X60 és X30), a Google saját Pixel 6 és 7-es készülékei, illetve Exynos W920-at használó hordozható eszközök és a Exynos Auto T5123-mal szerelt járművek is.

A Google Project Zero felhívja a felhasználók figyelmét arra, hogy a fenti termékek gyártói eltérő menetrendben juttathatják el a védelmet biztosító frissítéseket az érintett eszközökre. (A Google természetesen a maga részéről már gondoskodott a Pixelek javításáról.)

Amíg nem készül el minden patch, a felhasználók annyit tehetnek, hogy kikapcsolják a Wi-Fi hívások lehetőségét, illetve letiltják a Voice-over-LTE funkciót is. Ezek együttesen garanciát jelentenek arra, hogy a hekkerek nem tudják kihasználni a most nyilvánosságra hozott hibákat.

A Google szerint a fennmaradó 14 sebezhetőség kevésbé súlyos, mivel ezekhez a támadónak vagy fizikailag birtokolnia kéne a készüléket, vagy kiemelt hozzáféréssel kellene rendelkeznie a mobilszolgáltató rendszereihez.

Biztonság

Big4-tanácsadó lesz a ChatGPT: az adóbevallást is megcsinálja

Megállapodott az OpenAI és a PwC: első körben a Big4 továbbértékesíti a ChatGPT-t, illetve százezer alkalmazottja használhatja a munkájához.
 
Bejelentési kötelezettségük elmulasztása, és a szabályoknak való sorozatos meg nem felelés komoly pénzbírságot vonhat maga után.

a melléklet támogatója a Balasys IT Zrt.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.