Project Zero, het team van Google dat zich bezighoudt met beveiligingsonderzoek, heeft een aantal grote kwetsbaarheden gevonden in de Samsung-modems. Die modems zijn in veel populaire Android-telefoons te vinden.
Deze Android-telefoons lopen gevaar
De beveiligingsonderzoekers van Project Zero hebben in verschillende Exynos-modems een reeks zerodaykwetsbaarheden gevonden. In een blogpost legt Google uit dat deze kwetsbaarheden het mogelijk maken voor criminelen op afstand een telefoon binnen te dringen zonder dat de gebruiker dit door heeft. Hierdoor hebben ze toegang tot onder andere mobiele oproepen, sms-berichten en mobiele gegevens. De criminelen hebben hiervoor niet veel meer nodig dan het telefoonnummer van het slachtoffer. En, frustrerend genoeg, lijkt het erop dat Samsung moeite heeft om het te repareren.
Gerelateerde artikelen
De Samsung Galaxy S23-serie loopt dus geen gevaar. Deze telefoons zijn in Europa met een Snapdragon-chipset geleverd. De Samsung Galaxy A53 en de Galaxy S22-serie draaien wel op een Exynos-chipset en deze telefoons lopen mogelijk dus wel gevaar. De Samsung Galaxy S21-serie wordt niet in de lijst vermeld, terwijl deze wel een Exynos heeft. Deze serie heeft volgens Samsung een andere modem. De beveiligingsonderzoekers vermelden de volgende telefoons in de blogpost:
- Samsung-smartphones zoals de Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 en A04
- Vivo-smartphones zoals de S16, S15, S6, X70, X60 en X30-serie
- Google-smartphones: Pixel 6 en Pixel 7-serie
- Alle wearables die een Exynos W920 chipset hebben
- Alle auto's die een Exynos Auto T5123 chipset hebben
Beveiligingsupdate van maart
Project Zero zegt dat je jezelf kunt beschermen door bellen via wifi (VoWifi) en bellen via 4G (VoLTE) uit te schakelen. Nog beter is het om de nieuwste beveiligingsupdate van maart binnen te halen. Project Zero geeft namelijk aan dat de beveiligingsupdate van maart het probleem voor Pixel-telefoons zou moeten verhelpen. Hoewel deze patch nog niet beschikbaar is voor de Pixel 6, de Pixel 6 Pro en de Pixel 6a.
Beveiligingsonderzoekers wachten meestal op een oplossing voordat ze de gevonden kwetsbaarheden naar buiten brengen. Het kan ook zo zijn dat het rapport naar buiten brengen als een oplossing nog niet in zicht is. Het lijkt erop dat het hier het laatste geval is. Project Zero-onderzoeker Maddie Stone tweette al dat "eindgebruikers 90 dagen na het rapport nog steeds geen patches hebben". Samsung en andere smartphonemakers moeten dus snel met een patch komen.
Project Zero
Googles Project Zero is in 2014 in het leven geroepen met als doel iedere gebruiker van een veilige internetervaring te kunnen voorzien. Het is een team dat is samengesteld uit beveiligingsonderzoekers op het gebied van internetveiligheid.