Il team Project Zero di Google, squadra dedicata al rilevamento di vulnerabilità zero day, cioè mai scovate prima, ha scoperto alcune gravi vulnerabilità nel modem Exynos utilizzato sugli smartphone delle serie Pixel 6 e Pixel 7, smartphone e dispositivi indossabili Samsung e altri dispositivi. Il colosso invita contestualmente alcuni utenti a disattivare sui propri dispositivi il VoLTE e il Wi-Fi Calling, nel tentativo di arginare la problematica fino alla definitiva risoluzione, già in rilascio per alcuni.

Google invita gli utenti Pixel 6 a disattivare il Wi-Fi Calling

Il team Project Zero menzionato in apertura è sempre impegnato nello scovare le vulnerabilità zero day, tra la fine del 2022 e l’inizio del 2023 infatti ne sono state segnalate ben 18; quattro di queste, tra cui quella identificata con il codice CVE-2023-24033, riguardano l’esecuzione di codice remoto da Internet:

I test condotti da Project Zero confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere in remoto un telefono a livello di banda base senza alcuna interazione da parte dell’utente e richiedono solo che l’attaccante conosca il numero di telefono della vittima . Con attività di ricerca e sviluppo aggiuntive limitate, riteniamo che abili aggressori sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e da remoto.

Potete prendere visione dell’intero rapporto seguendo questo link, fortunatamente le altre 14 vulnerabilità individuate non sono considerate così gravi, visto che teoricamente richiedono “un operatore di rete mobile dannoso o un utente malintenzionato con accesso locale al dispositivo” per essere sfruttate.

I chip Exynos interessati dalle vulnerabilità più gravi sono Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 ed Exynos Auto T5123 e sono stati utilizzati sui seguenti dispositivi, di varie tipologie e brand:

Telefoni Samsung Galaxy compresi quelli delle serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04

Telefoni Vivo inclusi quelli delle serie S16, S15, S6, X70, X60 e X30

Google Pixel 6 e 6 Pro, Pixel 6a, Pixel 7 e 7 Pro

Tutti i dispositivi indossabili che utilizzano il chipset Exynos W920

Tutti i veicoli che utilizzano il chipset Exynos Auto T5123

Su alcuni dispositivi Samsung e Pixel la vulnerabilità principale è già stata risolta con l’introduzione delle ultime patch di sicurezza di marzo 2023 ma, come ben sappiamo, non tutti gli smartphone interessati hanno ancora ricevuto l’update in questione: Google Pixel 6, Pixel 6 Pro e Pixel 6a infatti attendono ancora l’aggiornamento di sicurezza di marzo, a causa dei ritardi di Google.

Considerando dunque che tali dispositivi risultano tuttora vulnerabili alle problematiche sopra esposte, il team di Project Zero si premura di dare ai possessori di tali dispositivi il seguente consiglio:

Fino a quando non saranno disponibili aggiornamenti di sicurezza, gli utenti che desiderano proteggersi dalle vulnerabilità di esecuzione di codice remoto in banda base nei chipset Exynos di Samsung possono disattivare le chiamate Wi-Fi e Voice-over-LTE (VoLTE) nelle impostazioni del proprio dispositivo. La disattivazione di queste impostazioni eliminerà il rischio di sfruttamento di queste vulnerabilità.

Se dunque siete possessori di uno degli smartphone ancora interessati dalle vulnerabilità e il vostro operatore prevede il servizio Wi-Fi Calling, il consiglio è quello di disabilitare tale funzionalità dalle Impostazioni del vostro dispositivo, almeno finché non riceverete le ultime patch di sicurezza.

