Kyberturvallisuuskeskus on julkaissut varoituksen Samsungin Exynos-piirisarjasta löytyneistä haavoittuvuuksista. Tarkalleen haavoittuvuudet on löydetty piirisarjan baseband-komponentista, eikä niihin ole vielä julkaistu korjaavaa päivitystä, mutta rajoituskeinoja on saatavilla.
Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron. Hyökkäys onnistuu etänä, eli hyökkääjän ei tarvitse päästä myöskään fyysisesti käsiksi itse laitteeseen. Piirisarjan kaikkia haavoittuvuuksia ei ole poikkeuksellisesti toistaiseksi julkaistu.
Haavoittuvuus koskee Samsungin Exynos-piiriä käyttäviä mobiililaitteita kuten esimerkiksi Galaxy S22-, M33-, M13-, M12-, A71-, A53-, A33-, A21s-, A13-, A12- ja A04-puhelimia. Lisäksi haavoittuvuus koskee myös Googlen Pixel 6:tta, 6 Prota, 6a:ta, 7:ää ja Pixel 7 Prota sekä tiettyjä Vivon puhelimia.
Laitteen omistaja voi rajoittaa haavoittuvuuksien hyväksikäyttöä sammuttamalla Wi-Fi-puhelut sekä VoLTE-ominaisuuden laitteen asetuksista.
Lähde: Kyberturvallisuuskeskus
Lisäksi ilmeisesti haavoittuvuus koskee siis ihan kaikkia Exynos-piirejä, mukaan lukien Samsung Galaxy XCoverit. (Toivottavasti ’ääss-ä’ korjaisi homman wanhemmillekin Exynoksille.)
Eikö Suomessa tuki vaadi sen uusimman päivityksen missä tuo on korjattu?
Edes niille Google Pixeleille ei ole kattavaa korjausta vielä, vaan ainoastaan yksi neljästä vakavimmasta on korjattu. Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems —> ingressiä seuraavan 1. leipätekstikappaleen alkupuoli, ja jäljempänä "Patch timelines".
Google: Turn off VoLTE, Wi-Fi calling due to severe Exynos modem vulnerabilities on Pixel 6, more
Päivitetty mukaan uutiseen.
Ihan ymmärrettävääkin, kun samat Tensor-järjestelmäpiirit siellä sisuksissa on, että se koskee sitten koko mallistoa.
Jännä, ilmeisesti S21 sarja on turvassa? (Exynos 2100) Ei näy tuolla listauksissa.
Mun on ollut kyllä hankaluuksia löytää VoLTE tai Wifi puheluista mitään iloa. Maksaa saman, pätkii omalla alueella. Jos netin yli soittaa niin sama sitten soittaa Signal/Whatsapp puhelu, ei maksa jeniäkään ja vieläpä toimii.
Eikö joissain maissa ole 2G/3G jo suljettu? Siellä loppuu kaikki puhelut kun VoLTE:ne sammuttaa, vain netti toimii.
Ilmeisesti ainakin jenkeissä näin. Jos sammuttaa VoLTE:n, niin puhelimella ei voi soittaa.
EIkös google käytä omaa järjestelmäpiiriään pixeleissä nykyisin, vai perustuvatko piirin modeemikomponentit exynosiin, jolloin myös googlen soc:t ovat tälle haavoittuvuudelle alttiina.
Yksinkertaistetusti Tensor on vähän kuin rakennettu Exynosin pohjalta.
Soita Samsung-puhelimeen rootatakksesi appia odotellessa.
No VoLTE puheluista suurin ilo että netti toimii puhelun aikanakin.
VoWifistä omalla kohdalla suurin ilo, että (jos esim. kotona on kunnollinen Wifi-verkko) niin toimii niissäkin nurkissa missä ei ole mobiilikuuluvuutta ja akku tyhjenee hitaammin. Toki myös EU ulkopuolella normipuhelut järkihinnalla, mutta tätä iloa ei ole kovin usein.
Normaali (tai edes vähän edistyneempi) käyttäjä tuolla ei tosin välttämättä tiedä noista verkoista juuri mitään varsinkaan, jos pitäisi tietää missä se puhelu menee (eikä suomalaisistakaan varmaan kovin moni näitä asioita tiedä).
Jos ongelmaa ei saada pikaisesti korjattua, niin sitten voivat viranomaiset puuttua asiaan. Sakot ja muut rangaistuksetkin saattavat uhata, pahimmassa tapauksessa pakotetut laitevaihdot valmistajan piikkiin.
Ja jos kiinalaisten puhelimista paljastuu vastaava aukko, niin siitähän vasta ’riemastutaan’…
Yrityskäyttäjien tulisi muistaa kuka puhelimen omistaa ja vaikka olisi oma laite kyseessä, niin firmassa voi olla politiikka joka kieltää jailbreakit jne, jos puhelimella käytetään firman palveluilta…
Joo, toki työntekijöiden viritykset ovat ongelma mutta tarkoitin lähinnä, että puhelinsoitolla korkattava puhelin + syvälle piilotettava huomaamaton haittaohjelma olisi aikamoinen painajainen yrityksille ja samalla suuri mainehaitta myös Samsungille.
On ne kaikki 4 korjattu
Ilmankos en ole mitään mainittavaa hyötyä siitä löytänyt. Ei tule nettiä aktiivisesti käytettyä jos se luuri on korvalla, ja luurista ei ole mitään ssh/terminaali yhteyden tapaista mihinkään joka vaatisi jatkuvaa yhteyttä. Kaikki on jotain stateless push/pull tuhrua.
Tällä alueella tosiaan 4:llä eri luurilla Moi:n ja Elisa:n liittymällä VolTE pätkäisee puhelun silloin tällöin joskus 30 sekunnissa joskus 5 minutin sisään. Tuosta minä ja naapuri tehty vikailmoituksetkin, eipä ole muuttunut. Perin ärsyttävää. :/
Hyvä, että 4 pahinta reikää on nyt tukittu esim. niiden Pixeleiden osalta. Sitä aiempaa viestiäni laatiessani ei vaan vielä tietopäivitystä näkynyt (viestin laadinta-ajankohtahan oli Suomen aikaa maanantaiaamua 20.3.2023).
On VoLTE:ssa se suuri etu, että puhelut toimivat 4G-verkon päällä. 3G-verkot puretaan Suomesta tänä vuonna, joten ilman VoLTEa olisi käytössä vain 2G-puhe.