三星Galaxy S22和Pixel 7因严重的Exynos漏洞而面临风险

谷歌Project Zero团队的安全研究人员在三星Exynos调制解调器上发现了多个严重的零日漏洞。这些漏洞影响了三星，谷歌和Vivo的数十种智能手机和可穿戴设备。Galaxy S22系列，Galaxy A53，Galaxy A33，Pixel 6系列，Pixel 7系列，Vivo X70系列和Vivo S16系列是受影响的设备之一。

在最近的一篇博客文章中，Project Zero透露，他们已经在三星半导体生产的Exynos调制解调器中发现了18个零日漏洞。其中四个是关键缺陷，如果在野外被利用，可能会导致互联网到基带远程代码执行。远程攻击者只需知道受害者的电话号码，即可在基带级别破坏手机，而无需用户交互。研究人员总结说，这些漏洞并不难利用。

不过，其余14个漏洞并不那么严重。他们需要“恶意移动网络运营商或具有本地设备访问权限的攻击者”。Project Zero 在 2022 年底至 2023 年初期间向三星报告了这些漏洞。自研究人员提交一些报告以来，已经过去了90多天，但这家韩国公司尚未修补任何缺陷。

受这些 Exynos 漏洞影响的设备的完整列表

这些零日漏洞影响了十几款三星智能手机，包括Galaxy S22，Galaxy M33，Galaxy M13，Galaxy M12，Galaxy A71，Galaxy A53，Galaxy A33，Galaxy A21，Galaxy A13，Galaxy A12和Galaxy A04系列。

谷歌于 2021 年开始在 Pixel 智能手机中使用三星制造的 Tensor 芯片，也发现所有最近的 Pixel 型号都容易受到攻击，即 Pixel 6 和 Pixel 7 系列。受影响的Vivo设备包括Vivo S16，Vivo S15，Vivo S6，Vivo X70，Vivo X60和Vivo X30系列。

此外，任何采用 Exynos W920 芯片组的可穿戴产品也容易受到这些安全漏洞的影响。三星的Galaxy Watch 4和Galaxy Watch 5系列就是其中之一。最后，这些 Exynos 调制解调器漏洞也会影响使用 Exynos Auto T5123 芯片组的车辆。根据Project Zero的官方发布，谷歌三月份针对Pixel设备的更新修补了这些问题。

该更新已经可用于Pixel 7系列，但Pixel 6系列仍在等待中。这些漏洞似乎在其他受影响的设备上仍未修补。

作为一项临时保护措施，Project Zero的负责人Tim Willis建议用户关闭Wi-Fi通话和LTE语音(VoLTE)。这将在受影响的设备上“消除这些漏洞的利用风险”。不幸的是，这些功能对许多人来说是必不可少的。我们希望三星能够尽快在其Exynos调制解调器上修补这些缺陷。