谷歌致力于安全研究的团队 Project Zero 在为 Pixel 6、Pixel 7 以及某些型号的 Galaxy S22 和 A53 等设备供电的三星芯片组中发现了一些大问题。根据其博客文章,各种 Exynos芯片组都存在一系列漏洞,可能“允许攻击者在基带级别远程破坏手机,无需用户交互”,并且仅需要受害者的电话号码。而且三星似乎迟迟不愿意修复问题。
该团队还警告说,经验丰富的黑客仅需“通过少量的额外研究和开发”来利用这个漏洞。谷歌表示 3 月份的 Pixels 安全更新应该可以解决这个问题。目前该更新还未于 Pixel 6、6 Pro 和 6a 上推出。
研究人员表示,他们认为以下设备可能存在风险:
· 三星移动设备,包括 Galaxy S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列
· 来自 vivo 的移动设备,包括 S16、S15、S6、X70、X60 和 X30 系列的移动设备
· 任何使用 Exynos W920 芯片组的可穿戴设备
· 任何使用 Exynos Auto T5123 芯片组的车辆
仅有使用了三星特定组件的设备才会更容易受到攻击。除了欧洲版本以外,三星 S22 手机配备了高通组件,因此不会出现上述漏洞。但配备了 Exynos 芯片组的热门手机,例如中端 A53 合欧洲版本的 S22 都有遭到攻击的风险。
目前三星的新旗舰 S23 是安全的,其全球版本均使用了高通组件。
一般来说安全研究人员会等到有可用的修复程序后才会宣布发现他们发现的漏洞。但还有另一种情况,即他们上报漏洞已经过去很久,但依然没有出现修复程序时。根据 Project Zero 研究员 Maddie Stone 称,三星在“最新的用户在报告后 90 天仍然没有(推出)补丁”。