Já sabemos que nada é perfeito e que mesmo com milhões de investimento, por vezes existem falhas críticas que podem colocar em perigos os nossos dados. Felizmente existem diversos projetos que procuram essas falhas, para partilharem com os seus criadores e, assim, o problema seja corrigido rapidamente. Um desses projetos é da própria Google.
O Projecto Zero do Google encontra falhas de segurança nos chips de modem da Samsung para smartphones, sendo que esta falha é particularmente perigoso, já que apenas o número de telefone é necessário para executar software externo.
A falha encontrada está relacionada com os chips de modem da Samsung para smartphone, sendo que, engana-se, se acha que apenas a Samsung utiliza estes chips Exynos. Há outras marcas que também o utilizam, como a Vivo e a própria Google.
O Projecto Zero do Google encontrou 18 vulnerabilidades de segurança “Zero-Day” nestes chips de modem, que são também utilizados em veículos. Quatro destas falhas são classificadas como particularmente críticas porque permitem que programas externos sejam executados no dispositivo móvel. Tudo o que é necessário para tal é o conhecimento do número de telefone.
As vulnerabilidades nos chips de modem da série Exynos da Samsung foram descobertas em finais de 2022 e princípios de 2023. As quatro vulnerabilidades críticas “Zero-Day” (CVE-2023-24033 e três outras, ainda não classificadas) permitem a “execução remota de código da Internet para banda de base” (RCE). Isto permite que os atacantes executem software da Internet no modem atacado sem que o utilizador do dispositivo possa intervir ou reparar.
Estes são os dispositivos afetados por esta falha
A Samsung descreve o CVE-2023-24033 nas suas actualizações de segurança como “O software de banda de base não valida devidamente os tipos de formato do atributo Accept-Type especificado pelo SDP [Session Description Protocol], o que pode resultar numa negação de serviço ou execução de código no modem de banda de base da Samsung”. Os chips afectados incluem o Exynos Modem 5123 e 5300, Exynos 980 e 1080, e Exynos Auto T5123.
O Projecto Zero da Google identificou os seguintes dispositivos como os mais susceptíveis de serem vulneráveis, mas mais poderão ser afetados:
- Samsung Galaxy S22, M33, M13, M12, M12, A71, A53, A33, A21s, A13, A12 e smartphones série A04,
- Smartphones Vivo das séries S16, S15, S6, X70, X60 e X30,
- Os Pixel 6 e 7 do Google,
- Wearables com chip Exynos W920
- Veículos com chip Exynos T5123.
Fabricantes têm de atualizar, mas há uma solução temporário
No entanto, ainda não estão disponíveis correções para todos os dispositivos afectados. A própria Samsung fornece actualizações de segurança, mas os patches ainda não estão na sua maioria disponíveis ao público e não podem ser aplicados pelos próprios utilizadores.
No entanto, a Google enviou a correção do CVE-2023-24033 para os dispositivos Pixel afetados na actualização de segurança de Março de 2023. Se esta actualização ainda não foi sugerida pelo próprio sistema, os utilizadores Pixel devem verificar manualmente esta actualização de 459 MByte nas definições.
Se ainda não recebeu uma atualização de segurança para o seu dispositivo, então o próprio Project Zero sugeriu uma solução alternativa:
Os utilizadores devem desligar as chamadas WLAN e Voice-over-LTE (VoLTE) nas definições. Isto eliminaria o risco de exploração destas vulnerabilidades. Para isso, aceda às Definições > Rede e Internet > SIMs > Chamadas Wi-Fi (a lógica é esta, sendo que pode variar de smartphone para smartphone, como pode ver nas imagens do meu smartphone).
