أعلن Project Zero ، فريق أبحاث الثغرات الأمنية في Google ، يوم الخميس عن اكتشاف 18 نقطة ضعف مفتوحة في مجموعة شرائح Samsung Exynos المستخدمة في الأجهزة المحمولة والأجهزة القابلة للارتداء والسيارات.
أبلغ الفريق عن وجود ثغرات أمنية في أجهزة مودم Exynos بين أواخر عام 2022 وأوائل عام 2023. وفقًا للفريق ، فإن 4 من الثغرات الأمنية الـ 18 التي تم تحديدها هي الأكثر أهمية ، لأنها تسمح بتنفيذ التعليمات البرمجية عن بُعد من الإنترنت في النطاق الأساسي.
أوضحت شركة Samsung أن الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد في النطاق الأساسي للويب تسمح للمهاجمين بخرق الأجهزة المعرضة للخطر عن بُعد دون أي تدخل من المستخدم.
وفقًا لتيم ويليس ، رئيس Project Zero ، فإن المعلومات الوحيدة اللازمة لشن الهجمات هي رقم هاتف الضحية. والأسوأ من ذلك ، أن المهاجمين المهرة يمكنهم بسهولة إنشاء ثغرة أمنية يمكنها إصابة الأجهزة الضعيفة عن بُعد دون تنبيه الهدف.
“نظرًا للجمع النادر جدًا لمستوى الوصول الذي توفره هذه الثغرات والسرعة التي نعتقد أنه يمكن بها إنشاء برمجيات إكسبلويت الموثوقة ، فقد قررنا استثناء سياسة إرجاء الكشف عن أربع ثغرات أمنية تسمح بتنفيذ التعليمات البرمجية عن بُعد من وقال ويليس الإنترنت إلى مجال.
نقاط الضعف الـ 14 المتبقية ليست حرجة ، لكنها لا تزال خطرة. تتطلب العملية الناجحة الوصول المادي إلى الجهاز أو مشغل شبكة الهاتف المحمول الضار.
وفقًا لقائمة الشرائح المتأثرة التي قدمتها شركة Samsung ، فإن قائمة الأجهزة المتأثرة تشمل على سبيل المثال لا الحصر هواتف Samsung الذكية ، بما في ذلك: سلسلة (Galaxy S22) و (Galaxy M33) و (Galaxy M13) و (Galaxy M12) و (Galaxy A71) و (Galaxy A53) و (Galaxy A33) و (Galaxy A21) و (Galaxy A13).
اقرأ ايضا: نشر أول صور مسربة لهاتف Pixel 8
وتشمل القائمة أيضًا: الأجهزة المحمولة من Vivo ومنها: (Vivo S16) و (Vivo S15) و (Vivo S6) و (Vivo X70) و (Vivo X60) و (Vivo X30). باستثناء هواتف (Pixel 6) و (Pixel 7) من Google. يتضمن هذا أيضًا أي أجهزة يمكن ارتداؤها باستخدام مجموعة الشرائح (Exynos W920) وأي مركبات تستخدم مجموعة الشرائح (Exynos Auto T5123).
على الرغم من أن Samsung قد قدمت بالفعل تحديثات أمنية للبائعين الآخرين الذين يعالجون هذه الثغرات الأمنية في الشرائح المتأثرة ، فإن الإصلاحات ليست عامة ولا يمكن لجميع المستخدمين المتأثرين تطبيقها.
سيختلف الجدول الزمني لإصلاح أجهزتهم حسب الشركة ، ولكن على سبيل المثال ، قامت Google بإصلاح ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد للهواتف المتأثرة (Pixel) في تحديثات الأمان لشهر مارس 2023.
ومع ذلك ، حتى تتوفر الإصلاحات ، يمكن للمستخدمين منع محاولات استخدام مجموعة شرائح Samsung Exynos على أجهزتهم عن طريق تعطيل Wi-Fi و Voice-over-LTE (VoLTE) لإزالة ناقل الهجوم.
أكدت شركة Samsung أيضًا قرار الفريق (Project Zero) ، قائلة: “يمكن للمستخدمين إيقاف تشغيل مكالمات Wi-Fi و VoLTE للتخفيف من تأثير هذه الثغرة الأمنية.”
وأضاف ويليس: “كما هو الحال دائمًا ، نشجع المستخدمين النهائيين على تحديث أجهزتهم في أقرب وقت ممكن لضمان تشغيلهم لأحدث الإصدارات التي تعالج كل من الثغرات الأمنية المعروفة وغير المكتشفة”.
التعليقات