🗞️

Project Zero recomienda deshabilitar VoLTE y WiFi calling en módems Samsung Exynos vulnerables

Bramante 18 marzo 2023 11:37 ✎ ◉

⋮

Project Zero, el equipo de ciberseguridad de Google, publica en su blog el descubrimiento de múltiples vulnerabilidades encontradas en los módems de los SOC's Exynos, desarrollados por Samsung.

En concreto, detallan que son 18 los 0-day encontrados. De ellos, cuatro son los especialmente preocupantes porque para su explotación, no requieren la interacción del usuario.

Entre los terminales afectados se encuentran las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04.

Como medida de protección, PZ recomienda deshabilitar las tecnologías VoLTE y Wi-Fi calling hasta que Samsung libere las actualizaciones que corrijan las vulnerabilidades:

Until security updates are available, users who wish to protect themselves from the baseband remote code execution vulnerabilities in Samsung’s Exynos chipsets can turn off Wi-Fi calling and Voice-over-LTE (VoLTE) in their device settings. Turning off these settings will remove the exploitation risk of these vulnerabilities.

Oihalitz 18 marzo 2023 11:44

⋮

Viva Exynos!

✖

["lhacc"] 18 marzo 2023 11:52

⋮

El S23 ya no tiene exynos

✖

Oihalitz 18 marzo 2023 18:35

⋮

Ya, una pena. Siempre he dicho que los Exynos han sido SOCs que nunca se han exprimido al 100%

✖

Olm 19 marzo 2023 00:58

⋮

Eran horribles en cuanto a potencia, eficiencia y temperaturas.

✖

rbetancor 19 marzo 2023 02:30

⋮

PezDeRedes 19 marzo 2023 10:07

⋮

✖

apocalypse 21 marzo 2023 17:41

⋮

Oihalitz 19 marzo 2023 13:17

⋮

Oihalitz 19 marzo 2023 13:21

⋮

Compinote 18 marzo 2023 11:53

⋮

Ni que fuese exclusivo de exynos tener vulnerabilidades

["lhacc"] 18 marzo 2023 11:53

⋮

Afecta a muchos más móviles, no sólo samsung

Samsung Galaxy phones including those in the S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, and A04 series

Vivo phones including those in the S16, S15, S6, X70, X60, and X30 series

Google Pixel 6 and 6 Pro, Pixel 6a, Pixel 7 and 7 Pro

Any wearables that use the Exynos W920 chipset → por ejemplo, el Galaxy Watch 4

Any vehicles that use the Exynos Auto T5123 chipset

✖

PezDeRedes 18 marzo 2023 11:58

⋮

Por lo que he podido leer, en los Pixel ya está parcheado.

✖

Bramante 18 marzo 2023 13:03

⋮

Hay algunos Pixel a los que la actualización de marzo, aún no ha llegado. Se la esperaba para el día 6, primer lunes de mes como de costumbre, y la fecha que se rumorea es para el día 20.

No sé si el retraso tendrá algo que ver con esto.

PezDeRedes 18 marzo 2023 12:00

⋮

VoLTE desactivado (VoWiFi no lo he usado en la vida). Igual ni me acuerdo de activarlo, total, las llamadas las hago por WhatsApp.

✖

Bramante 18 marzo 2023 12:01

⋮

A mí, esta mierda me da en la línea de flotación. Porque tengo uno de los terminales afectados y soy heavy user de Wi-Fi calling.

✖

PezDeRedes 18 marzo 2023 12:01

⋮

Dudo que existan posibilidades reales de que te exploten la vulnerabilidad, siendo un hijo de vecino cualquiera.

rbetancor 18 marzo 2023 12:31

⋮

Uff, me he leído los CVE y aunque temas GRAVES, bien GRAVES, la posibilidad de explotación de lo bugs, la veo bastante complicada, para empezar porque con el VoLTE y VoWiFi activados, el modem solo responde a las peticiones recibidas Y FIRMADAS desde el IMS de la operadora, lo que implica que para llevar a cabo un ataque viable, o suplantan la identidad del IMS o consiguen acceso al IMS.

No se ha publicado aún toda la información, porque aún se están dentro de la ventana de los 90 días que ha dado ProyectZero antes de hacer un full-disclouse, y ya, ayer mismo, Samsung ha publicado varias correcciones y aclaraciones sobre los CVE's. Por lo que el alcance real del problema solo la conocen los de ProyectZero y Samsung.

✖

Neoderek 18 marzo 2023 13:26

⋮

Lo que manda cojones es que PZ lo haya hecho publico antes de que terminen los 90 dias.

✖

["lhacc"] 18 marzo 2023 13:28

⋮

No han hecho nada público, han dicho que el bug existe, pero no han dicho cuál es.

✖

rbetancor 18 marzo 2023 15:43

⋮

Si han dicho cual es, está publicado en el CVE correspondiente … lo que no han dado son los detalles de como explotarlo.

rbetancor 18 marzo 2023 13:59

⋮

¿Ein? … no han publicado nada, informaron del fallo al NIST y Samsung lo ha corroborado y dicho que están trabajando en ello.

El tic-tac sigue en marcha.

Hay bugs para los que ya venció el plazo y aún así, no han publicado la información de los PZ.

✖

Bramante 18 marzo 2023 14:01

⋮

Efectivamente, Project Zero está muy lejos de hacer guarradas de ese tipo.

["lhacc"] 18 marzo 2023 16:02

⋮

Dice:

The fourteen other related vulnerabilities (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 and nine other vulnerabilities that are yet to be assigned CVE-IDs) were not as severe, as they require either a malicious mobile network operator or an attacker with local access to the device.

O sea que las demás vulnerabilidades NO necesitan colaboración del operador.

✖

rbetancor 18 marzo 2023 18:27

⋮

Si te refieres a las críticas, se "supone", que no requieren nada más que saber el número de teléfono del abonado. Pero tengo mis serias dudas, como ya comenté antes … el CVE más crítico es uno de "no validación de formatos en el cuerpo SDP de una petición SIP", vale … que la cosa va de construir un SDP para un SIP-INVITE que se aproveche de eso y meta un código malicioso en el terminal, ya que el bug, va de ejecución de código remota en el BASE, osea escapando de todos los controles de seguridad del terminal para aplicaciones, ya que la aplicación de softphone-sip es CORE en todos los terminales nuevos con soporte de VoLTE y VoWiFi.

Pero como comenté antes … eso requeriría de simular ser el IMS o tener acceso al IMS del operador … ya que "en teoría" (a no ser que haya otro bug relacionado), las peticiones VoLTE y VoWiFi, solo pueden provenir del IMS en el que se registra el terminal y estás van sobre IPSec, así que no se como cojones se puede implementar ese vector de ataque.

✖

bancho 18 marzo 2023 22:15

⋮

Si al otro lado de la llamada hay un terminal rooteado que puede interactuar con el servidor SIP del IMS directamente (al estar conectado al IPSEC), y el operador reenvía el SDP o parte del mismo del llamante original tal cual, es posible que se pudiera construir así una "llamada maliciosa" por parte de otro cliente de la misma compañía, con muchos asteriscos, claro, pero sin contar con su colaboración.

✖

rbetancor 18 marzo 2023 23:08

⋮

ntmjias 18 marzo 2023 22:06

⋮

Si desactivo el VoWiFi me quedo incomunicado en el móvil en casa. Sin cobertura. Me voy a tener que arriesgar.

✖

["lhacc"] 18 marzo 2023 22:11

⋮

Es curioso cómo una tecnología tan reciente (que, de hecho, la mayoría no tiene aún) es ahora vital para tanta gente.

✖

ntmjias 18 marzo 2023 22:14

⋮

Ni te lo imaginas. Sólo me falta que pongan SMS sobre wifi para poder acceder al banco. El fijo y la fibra ha sido mi salvación hasta ahora. Un vecino tenía una femtococelta contratada. Era la opción idonea antes de VoWiFi.

rbetancor 18 marzo 2023 23:09

⋮

¿Reciente? … si la spec es del 2014 !! … cosa diferente es cuando lo han activado los operadores.

✖

heffeque 19 marzo 2023 21:21

⋮

Casi 10 años, y sigue siendo una tecnología que parece condenada al ostracismo (apenas un puñado de móviles tienen compatibilidad oficial con 3 o 4 operadoras). Muy triste que la tecnología lo permita y operadoras+móviles no hagan las cosas bien.

✖

rbetancor 19 marzo 2023 21:27

⋮

vukits 21 marzo 2023 00:17

⋮

Baseband es un S.O. con plenos poderes y acceso DMA.

Realmente, es un fallo de diseño más que otra cosa, en mi humilde opinión.