Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Vulnerabilità 0-day su Pixel 6 e Galaxy: Samsung annuncia soluzione

27 Marzo 2023 26

Sono 18 le vulnerabilità 0-day identificate da Project Zero nei modem Exynos, quattro di queste - tra cui CVE-2023-24033 - permettono ad un malintenzionato di compromettere da remoto uno smartphone senza che l'utente se ne accorga. L'unica informazione di cui l'hacker deve essere in possesso è il numero di telefono dell'utente vittima dell'attacco.

[...] riteniamo che aggressori esperti sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi colpiti in modo silenzioso e da remoto.

Google comunica che le altre 14 vulnerabilità sono ritenute meno gravi in quanto "richiedono un operatore di rete mobile dannoso o un malintenzionato che abbia accesso locale al dispositivo".

GLI SMARTPHONE COLPITI

Gli smartphone che sono dotati dei modem Exynos in questione sono i seguenti:

73.2 x 155.6 x 8.7 mm
6.3 pollici - 2400x1080 px
76.6 x 162.9 x 8.9 mm
6.7 pollici - 3120x1440 px
70.6 x 146 x 7.6 mm
6.1 pollici - 2340x1080 px
75.8 x 157.4 x 7.6 mm
6.6 pollici - 2340x1080 px
77.9 x 163.3 x 8.9 mm
6.8 pollici - 3080x1440 px

Su Pixel 7 e 7 Pro l la vulnerabilità CVE-2023-24033 è già stata corretta con le patch di marzo, attenzione però perché Pixel 6, 6 Pro e 6a risultano essere ancora vulnerabili in quanto non ancora aggiornati con le ultime patch di sicurezza. I tempi di rilascio degli aggiornamenti per tutti gli altri dispositivi dipendono invece da ciascun singolo produttore. Google consiglia di disattivare le chiamate WiFi e VoLTE fino a che non si è ricevuto l'update.

AGGIORNAMENTO: LE PATCH DI SAMSUNG
27/3

Samsung ha annunciato che 5 delle 6 vulnerabilità che hanno colpito gli smartphone nel marchio sono già state risolte con le patch di marzo. L'ultima sarà invece corretta con il rilascio delle patch di sicurezza di aprile.


26

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Body123

Non ne capisco molto, lo premetto, ma dubito sia così semplice, la stragrande maggioranza delle persone (oserei dire il 99%) ha una versione di Android che non è certo l'ultima, cellulari da 200€ mai aggiornati da anni, ed usano quotidianamente app delle banche senza problemi e furti. Ed io ero uno tra questi prima di prendere un Pixel. Se fosse così semplice come l'hai messa tu i loro conti sarebbero già stati svuotati da un pezzo, non credi?

meyinu

Stavo commentando il Trojan Nexus (mi pare si chiami) che preleva i soldi dai conti conrrenti usando la doppia autenticazione, che fa il paio con questa notizia di un zero day piuttosto pericoloso.

Ma mi chiedo: se sono un malfattore e posso acquistare una zero day che mi permette di prelevare dai conti correnti con solo il numero di telefono (ci sono archivi da GB di dati con i numeri di tutti quelli che hanno facebook) e devo pagare facciamo caso mezzo milione di euro per una singola vulnerabilità zero day. Faccio i miei conti e vedo che posso prelevare 1 milione di euro dai nativi digitali che fanno tutto col cell.

Mi conviene? Certo! 1'000'000-500'000= 500'000 di guadagno.

Vedete voi...

Pep

Si

matteventu

Visto che avete aggiornato l'articolo, magari valeva la pena anche menzionare che ora pure i Pixel 6 hanno ricevuto il fix :)

Tiwi

ma non è che niente niente hanno già risolto questa vulnerabilità? mi riferisco a samsung con gli update di marzo

Dani Man

"Google consiglia di disattivare le chiamate WiFi e VoLTE fino a che non si è ricevuto l'update."

Matteo

Ma la famiglia dei Pixel non riceve gli aggiornamenti nello stesso momento? Non pensavo che prima lo ricevessero i 7

TaSpatass

Non per fare l'avvocato del diavolo ma... l'ultima frase dell'articolo direi che è proprio quello che consigliano di fare per proteggersi.

Pino Lino

Titolo: cosa fare per proteggersi
Articolo: Nessuna risposta.

Stefano Bontempi: ...ma vattene a f.... va!

dickfrey

Su Tesla sono d'accordo, hanno il loro sistema e funziona

rsMkII

Cosa fare per proteggersi: mettere il cul0 contro la parete

boosook

La cosa che più mi spaventa sono le auto con Exynos Auto T5123: chissà quante verranno aggiornate? Altro motivo per cui, quando prenderò un'auto connessa, sarà una Tesla, ovvero un'auto fatta da una società che è prima di tutto una software company e che dunque so che aggiornerà il software periodicamente e over the air per tutta la vita dell'auto.

Chucky

Condivido, solo un appunto: SD 855 e 865 sono fatti by TSMC

RoYevA

Titolo veramente pessimo...visto che il problema si presenta su un bel pò di dispositivi.
Impegnarvi un filo di più mai eh?

One-Punch Mar

Ma certo, forse mi sono espresso male. Il problema è nel modem Samsung, presente ovviamente negli Exynos e nei Tensor di google

MrPhil17

Non è che il problema è presente perché sono creati nelle fonderie di Samsung, altrimenti anche Qualcomm avrebbe avuto problemi con l'820, 835, 845, 855, 865 e 888.
Il problema è che evidentemente Google ha appaltato a Samsung la creazione dei Tensor, ovviamente basandosi sugli Exynos (di me...).

Jotaro
Vulnerabilità 0-day mette in pericolo Pixel 6 e Galaxy S22: cosa fare per proteggersi

Buttarlo.

Fade

si

One-Punch Mar

Ahaha, non hai capito. È il modem prodotto da samsung che presenta la vulnerabilità

TheDukeMB

Ah quindi la vulnerabilità non è intrinseca dell'architettura ma proviene dalla fonderia stessa?
Mi hai aperto un universo.

One-Punch Mar

Fonderie samsung

One-Punch Mar

Per così poco

edd

Ok. Aspettiamo il tuo stesso commento alla prossima vulnerabilità 0-day su Mediatek o Snapdragon.
Grazie da tutto il blog per il tuo impegno, grazie per aprirci gli occhi.

Bruno Giordano

perchè?

Melon Fax

Tensor sono Exynos?

One-Punch Mar

Mai più Exynos (quindi tensor)

Recensione OnePlus Watch 2: sfida a Samsung con Wear OS e un'ottima batteria

Recensione Xiaomi 14, il TOP compatto che vorrei! | VIDEO

Xiaomi 14 ufficiale in Italia. Video anteprima 14 Ultra

Xiaomi Pad 6S Pro, Watch 2, S3 e Smart Band 8 Pro ufficiali in Italia | PREZZI