Schwere Sicherheitslücken in Samsung Exynos-Chips

Googles Project Zero hat in Exynos-Modemchips von Samsung 18 Zero-Day-Lücken entdeckt. Die betroffenen Modems sind in diversen Smartphones von Samsung, aber auch von Google und Vivo verbaut. Auch in anderen Geräten wie Wearables und sogar in Fahrzeugen kommen sie zum Einsatz.

Vier der Sicherheitslücken (CVE-2023-24033 sowie drei weitere Lücken, die bisher ohne CVE-IDs sind) werden als besonders kritisch eingestuft, weil dadurch ohne eine Interaktion des Nutzers Schadcode aus dem Internet auf dem Gerät ausgeführt werden könnte. Sie erlauben eine "Internet-to-Baseband Remote Code Execution", für die lediglich die Telefonnummer bekannt sein müsse. Bei den anderen 14 Lücken müsse ein Angreifer zumindest direkten Zugriff auf das Gerät haben.

Betroffene Exynos-Chips und Geräte

Laut Samsung handelt es sich bei den von den kritischen Lücken betroffenen Chipsets um Exynos 980, Exynos 1080, Exynos Modem 5123, Exynos Modem 5300 sowie Exynos Auto T5123.

Das Google Project Zero hat auf Basis dieser Informationen folgende Geräte ausgemacht, die von den Sicherheitslücken betroffen sind:

• Samsung-Smartphones der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 and A04
• Vivo-Smartphones der Serien S16, S15, S6, X70, X60 and X30
• Google-Smartphones der Serien Pixel 6 and Pixel 7
• Wearables mit Exynos W920 Chip
• Fahrzeuge mit Exynos Auto T5123 Chip

Patches und Workarounds

Die Sicherheitslücken wurden bereits Ende 2022 bzw. Anfang 2023 entdeckt. Samsung hat Sicherheitsupdates dafür veröffentlicht. Wann diese auf den betroffenen Geräten ausgerollt werden, hängt aber auch vom jeweiligen Hersteller ab. Google hat die Sicherheitslücke CVE-2023-24033 im März-Update für die Pixel-Smartphones geschlossen.

Für betroffene Geräte, die bislang noch kein Sicherheitsupdate erhalten haben, schlägt Project Zero ein Workaround vor. Demnach würde es reichen, WLAN-Telefonie und Voice-over-LTE (VoLTE) zu deaktivieren. Auf diese Weise könne die Sicherheitslücke nicht ausgenutzt werden.