SamsungのExynosモデムに脆弱性〜Googleは一部機能の無効化を推奨

 
昨年リリースされた多くの人気Androidモデルに採用されているSamsungのExynosモデムにセキュリティ上の脆弱性が発見されました。Googleは、Pixel 6やPixel 7でVoLTEとWi-Fi Callingを無効にすることを推奨しています。
 
【追記】現地時間3月20日のアップデートにより、Pixel 6および7シリーズは「4つのインターネットからベースバンドリモートコード実行脆弱性のすべて」（CVE-2023-24033 + CVE-2023-26496、CVE-2023-2649、およびCVE-2023-26498）に対して保護されています。

全部で18のゼロデイ脆弱性が発見

GoogleのProject Zeroチームは全部で18のExynosモデムのゼロデイ（0-day）脆弱性を見つけましたが、そのうち4つにより、攻撃者はユーザーの操作を必要とせず、ベースバンドレベルでリモートで電話を侵害することが可能とのことです。唯一攻撃者が必要なのは被害者の電話番号のみで、熟練した攻撃者はデバイスを遠隔操作するためのエクスプロイトを迅速に作成することができるそうです。
 
残りの14の脆弱性に関しては、「悪意のあるモバイルネットワーク事業者または端末にローカルアクセスできる攻撃者のいずれかが必要」とのことで、それほど深刻ではないとされています。
 
Project Zeroは、インターネットからベースバンドへのリモートコード実行を可能にする4つの脆弱性について、ポリシー上の例外として公開を延期することを決定しています。

影響を受けるデバイスとは？

Googleの発表によれば、今回の脆弱性により影響を受けるモデルは次のとおりであるとのことです。
 

• Samsung S22、M33、M13、M12、A71、A53、A33、A21s、A13、A12、A04シリーズ
• vivo S16、S15、S6、X70、X60、X30シリーズ
• Google Pixel 6、Pixel 7シリーズ
• その他ののExynos Auto T5123チップセットが使用されているデバイス

Exynosチップは評判が悪い？

今回脆弱性が発見されたのはExynosのモデムですが、SamsungのExynosのシステム・オン・チップ（SoC）の評判も微妙で、Qualcomm製のSoCのほうが高速で電力効率が良いとされています。
 
Samsungの最新フラッグシップモデルS23 Ultraでは、一部Exynosチップの使用を取りやめたことで、ベンチマークテストの結果が向上したことがわかっています。
 
 
Source:Google via Android Police, 9to5Google
Photo:Trusted Reviews
(lexi)