Exynos 芯片組中的安全漏洞發(fā)生在 2022 年末至 2023 年初，其中四個被評為高危漏洞，允許攻擊者從互聯(lián)網(wǎng)到基帶執(zhí)行遠(yuǎn)程代碼。這些互聯(lián)網(wǎng)到基帶遠(yuǎn)程代碼執(zhí)行（RCE）漏洞（包括 CVE-2023-24033 和其它三個仍在等待 CVE-ID的漏洞）允許攻擊者在沒有任何用戶交互的情況下，遠(yuǎn)程危害易受攻擊的設(shè)備。

三星在一份描述 CVE-2023-24033 漏洞的安全咨詢中表示，基帶軟件沒有正確檢查 SDP 指定接受的格式類型，可能導(dǎo)致三星基帶調(diào)制解調(diào)器中的拒絕服務(wù)或代碼執(zhí)行。

Project Zero 安全團隊負(fù)責(zé)人 Tim Willis 指出，潛在攻擊者只要有受害者的電話號碼，就可以發(fā)動襲擊。更糟糕的是，只要稍微認(rèn)真研究一下，經(jīng)驗豐富的攻擊者便可以在不引起目標(biāo)注意的情況下，輕而易舉的利用漏洞遠(yuǎn)程攻擊易受攻擊的設(shè)備。

其余 14個 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 個等待 CVE ID 的漏洞，雖然這些漏洞不會造成很嚴(yán)重的后果，但仍存在安全風(fēng)險。

受影響設(shè)備列表包括但不限于：

三星的移動設(shè)備，包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列。

Vivo 的移動設(shè)備，包括 S16、S15、S6、X70、X60 和 X30 系列。

谷歌的 Pixel 6 和 Pixel 7 系列設(shè)備。

任何使用 Exynos W920 芯片組的可穿戴設(shè)備。

以及任何使用 Exynos Auto T5123 芯片組的車輛。

受影響設(shè)備可采取的解決方法

目前，雖然三星已經(jīng)向其它廠商提供了漏洞安全更新，但這些補丁并不對所有用戶公開。此外，每個制造商對其設(shè)備打補丁的時間表也有所不同，例如，谷歌已經(jīng)在 2023 年 3 月的安全更新中針對受影響的 Pixel 設(shè)備解決了 CVE-2023-24033 問題。

好消息是，在安全補丁可用之前，用戶可以通過禁用 Wi-Fi 呼叫和 Vo-over-LTE（VoLTE）來消除攻擊媒介，從而挫敗針對其設(shè)備中的三星 Exynos 芯片組的基帶 RCE 利用嘗試。