Google, a través de su equipo dedicado a la búsqueda de 0-days, Project Zero, ha detectado recientemente 18 vulnerabilidades de día cero en los chips Exynos fabricados por Samsung. Estos chips se encuentran en una amplia variedad de dispositivos, incluidos teléfonos móviles, wearables y automóviles.

Los fallos de seguridad en el módem Exynos fueron hallados entre finales del año pasado y principios de este año. Cuatro de estos fallos han sido catalogados como los más serios, ya que permiten la ejecución remota de código desde Internet en la banda base del dispositivo afectado. En otras palabras, un atacante podría tomar el control de un dispositivo vulnerable de forma remota, sin que el usuario se dé cuenta.

Una de estas vulnerabilidades críticas es la CVE-2023-24033, y hay otras tres aún en espera de un identificador CVE. Según Tim Willis, director de Project Zero, la única información que un atacante necesitaría para explotar estos fallos es el número de teléfono de la víctima.

Lo más preocupante es que, con un poco de investigación adicional, los atacantes experimentados podrían crear fácilmente un exploit que permita comprometer los dispositivos vulnerables de forma remota y sin que las víctimas lo noten.

Debido a la gravedad de estas vulnerabilidades, Google ha decidido hacer una excepción en su política de divulgación y retrasar la revelación de los cuatro fallos críticos hasta que se encuentre una solución.

Además de estos cuatro fallos críticos, se han identificado otros 14 fallos de seguridad que, aunque no son tan graves, aún representan un riesgo. Estos fallos requieren acceso local al dispositivo o la intervención de un operador de red móvil malicioso para ser explotados.

Basándose en la lista de conjuntos de chips afectados proporcionada por Samsung, la lista de dispositivos afectados incluye, pero probablemente no se limita a:

  • Dispositivos móviles de Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
  • Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
  • Los dispositivos de las series Pixel 6 y Pixel 7 de Google;
  • cualquier dispositivo portátil que utilice el chipset Exynos W920;
  • y cualquier vehículo que emplee el chipset Exynos Auto T5123.


Vota por Derecho de la Red en los Premios de Internet 2023

¿Encontraste este artículo interesante? Sigue a DDR en TwitterMastodonLinkedInTiktok y Facebook suscríbete a nuestra newsletter.

¡Colabora con nosotros!

Únete a @DerechodelaRed en Telegram