Kyberturvallisuuskeskus: Samsungin Exynos-piirisarjasta on löydetty useita kriittisiä haavoittuvuuksia

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 206


Diizzel kirjoitti uutisen/artikkelin:
Kyberturvallisuuskeskus on julkaissut varoituksen Samsungin Exynos-piirisarjasta löytyneistä haavoittuvuuksista. Tarkalleen haavoittuvuudet on löydetty piirisarjan baseband-komponentista, eikä niihin ole vielä julkaistu korjaavaa päivitystä, mutta rajoituskeinoja on saatavilla.

Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron. Hyökkäys onnistuu etänä, eli hyökkääjän ei tarvitse päästä myöskään fyysisesti käsiksi itse laitteeseen. Piirisarjan kaikkia haavoittuvuuksia ei ole poikkeuksellisesti toistaiseksi julkaistu.

Haavoittuvuus koskee Samsungin Exynos-piiriä käyttäviä mobiililaitteita kuten esimerkiksi Galaxy S22-, M33-, M13-, M12-, A71-, A53-, A33-, A21s-, A13-, A12- ja A04-puhelimia. Lisäksi haavoittuvuus koskee myös Googlen Pixel 6:tta, 6 Prota, 6a:ta, 7:ää ja Pixel 7 Prota sekä tiettyjä Vivon puhelimia.

Laitteen omistaja voi rajoittaa haavoittuvuuksien hyväksikäyttöä sammuttamalla Wi-Fi-puhelut sekä VoLTE-ominaisuuden laitteen asetuksista.

Lähde: Kyberturvallisuuskeskus

Linkki alkuperäiseen juttuun
 
Viimeksi muokattu:
Liittynyt
30.01.2021
Viestejä
392
Aikas epäkäytännöllinen tuo tiedetty rajoittamismenettely etenkin nykyisin...

Lisäksi ilmeisesti haavoittuvuus koskee siis ihan kaikkia Exynos-piirejä, mukaan lukien Samsung Galaxy XCoverit. (Toivottavasti 'ääss-ä' korjaisi homman wanhemmillekin Exynoksille.)
 

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
9 218
Jaaha, ilo VoLTE puheluista loppuikin lyhyeen uusimmilla Pixeleillä. Toivottavasti saavat korjattua aukon mahdollisemman nopeasti. Pitääköhän päivityksen kiertää vielä operaattoreiden kautta, kun VoLTEa varten vaaditaan vielä operaattorin säädöt/asetukset.
 
Liittynyt
24.10.2016
Viestejä
6 117
Jaaha, ilo VoLTE puheluista loppuikin lyhyeen uusimmilla Pixeleillä. Toivottavasti saavat korjattua aukon mahdollisemman nopeasti. Pitääköhän päivityksen kiertää vielä operaattoreiden kautta, kun VoLTEa varten vaaditaan vielä operaattorin säädöt/asetukset.
Eikö Suomessa tuki vaadi sen uusimman päivityksen missä tuo on korjattu?
 
Liittynyt
27.10.2016
Viestejä
321
Jostain syystä Kyberturvallisuuskeskuksen tiedotteessa oli mainittu Pixel 6 ja Pixel 7 yksittäisinä puhelinmalleina, mutta ainakin maailmalla uutisoidun perusteella haavoittuvuus koskettaa koko Pixel 6- ja 7-sarjaa: @Diizzel

Affected devices
According to Samsung Semiconductor (January 2023), these are the affected chipsets: Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080, and Exynos Auto T5123. Google compiled a list of likely affected products:

  • Samsung Galaxy phones including those in the S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, and A04 series
  • Vivo phones including those in the S16, S15, S6, X70, X60, and X30 series
  • Google Pixel 6 and 6 Pro, Pixel 6a, Pixel 7 and 7 Pro
  • Any wearables that use the Exynos W920 chipset
  • Any vehicles that use the Exynos Auto T5123 chipset
Google: Turn off VoLTE, Wi-Fi calling due to severe Exynos modem vulnerabilities on Pixel 6, more
 

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 206
Jostain syystä Kyberturvallisuuskeskuksen tiedotteessa oli mainittu Pixel 6 ja Pixel 7 yksittäisinä puhelinmalleina, mutta ainakin maailmalla uutisoidun perusteella haavoittuvuus koskettaa koko Pixel 6- ja 7-sarjaa: @Diizzel



Google: Turn off VoLTE, Wi-Fi calling due to severe Exynos modem vulnerabilities on Pixel 6, more
Päivitetty mukaan uutiseen. :tup: Ihan ymmärrettävääkin, kun samat Tensor-järjestelmäpiirit siellä sisuksissa on, että se koskee sitten koko mallistoa.
 
Liittynyt
06.03.2017
Viestejä
26
Jännä, ilmeisesti S21 sarja on turvassa? (Exynos 2100) Ei näy tuolla listauksissa.
 

prc

Liittynyt
18.10.2016
Viestejä
885
Jaaha, ilo VoLTE puheluista loppuikin lyhyeen uusimmilla Pixeleillä. Toivottavasti saavat korjattua aukon mahdollisemman nopeasti. Pitääköhän päivityksen kiertää vielä operaattoreiden kautta, kun VoLTEa varten vaaditaan vielä operaattorin säädöt/asetukset.
Mun on ollut kyllä hankaluuksia löytää VoLTE tai Wifi puheluista mitään iloa. Maksaa saman, pätkii omalla alueella. Jos netin yli soittaa niin sama sitten soittaa Signal/Whatsapp puhelu, ei maksa jeniäkään ja vieläpä toimii. :)
 
Liittynyt
23.02.2020
Viestejä
792
Eikö joissain maissa ole 2G/3G jo suljettu? Siellä loppuu kaikki puhelut kun VoLTE:ne sammuttaa, vain netti toimii.
 
Liittynyt
24.02.2017
Viestejä
2 945
Samsung on nyt täsmentänyt, mitä Suomessa myytäviä malleja haavoittuvuus koskee. Viranomaisen aikaisemmin julkaisemassa listassa oli malleja, joita ei myydä Suomessa.

Yhtiö on korjannut osan haavoittuvuuksista joillekin malleille julkaistussa maaliskuun tietoturvapäivityksessä. Yksi haavoittuvuus korjataan vielä myöhemmin huhtikuun tietoturvapäivityksessä.

Mallit, joita haavoittuvuus koskee ja joihin maaliskuun 2023 tietoturvapäivitys on jo saatavilla, ovat:

  • Galaxy S22, S22+, S22 Ultra
  • Galaxy S20, S20 5G, S20+ 5G, S20 Ultra 5G
  • Galaxy A53 5G
  • Galaxy XCover 5
  • Galaxy Note 20, Note 20 5G, Note 20 Ultra 5G

Seuraaville Samsungin malleille, joita haavoittuvuus koskee, maaliskuun tietoturvapäivitystä ei vielä ole saatavilla:

  • Galaxy A04s
  • Galaxy A12
  • Galaxy A13
  • Galaxy A21s
  • Galaxy A51
  • Galaxy A33 5G
Jos Samsung-puhelintasi ei ole listoilla, silloin siinä on jonkun muun valmistajan kuin Samsungin piirisarja tai Samsungin vanhempi piirisarja. Kummassakaan tapauksessa haavoittuvuudet eivät koske sinua.
 
Viimeksi muokattu:
Liittynyt
31.07.2017
Viestejä
1 599
EIkös google käytä omaa järjestelmäpiiriään pixeleissä nykyisin, vai perustuvatko piirin modeemikomponentit exynosiin, jolloin myös googlen soc:t ovat tälle haavoittuvuudelle alttiina.
 

Juha Kokkonen

Ylläpidon jäsen
Liittynyt
17.10.2016
Viestejä
13 544
EIkös google käytä omaa järjestelmäpiiriään pixeleissä nykyisin, vai perustuvatko piirin modeemikomponentit exynosiin, jolloin myös googlen soc:t ovat tälle haavoittuvuudelle alttiina.
Yksinkertaistetusti Tensor on vähän kuin rakennettu Exynosin pohjalta.
 
Liittynyt
12.11.2016
Viestejä
180
Tavis-tehokäyttäjille näistä haavoittuvuuksista voisi olla hytyäkin jos niillä onnistuu puhelimen roottaaminen KNOX:ia laukaisematta mutta esim. yrityskäyttäjille ja tietenkin myös Samsungille tuo olisi vielä tuplasti pahempaa.

Soita Samsung-puhelimeen rootatakksesi appia odotellessa.
 
Liittynyt
21.05.2020
Viestejä
2 534
Mun on ollut kyllä hankaluuksia löytää VoLTE tai Wifi puheluista mitään iloa.
No VoLTE puheluista suurin ilo että netti toimii puhelun aikanakin.

VoWifistä omalla kohdalla suurin ilo, että (jos esim. kotona on kunnollinen Wifi-verkko) niin toimii niissäkin nurkissa missä ei ole mobiilikuuluvuutta ja akku tyhjenee hitaammin. Toki myös EU ulkopuolella normipuhelut järkihinnalla, mutta tätä iloa ei ole kovin usein.
 

demu

Conducător & Geniul din Carpați
Tukijäsen
Liittynyt
20.10.2016
Viestejä
4 433
Voin vain aavistella, minkälaisen sekoilun tämä aiheuttaa Yhdysvalloissa. Siellä kun on enää 4G ja 5G-verkko päällä ja kaikki puhelut kulkevat VoLTE:n (to VoWiFi:n päällä).
Normaali (tai edes vähän edistyneempi) käyttäjä tuolla ei tosin välttämättä tiedä noista verkoista juuri mitään varsinkaan, jos pitäisi tietää missä se puhelu menee (eikä suomalaisistakaan varmaan kovin moni näitä asioita tiedä).
Jos ongelmaa ei saada pikaisesti korjattua, niin sitten voivat viranomaiset puuttua asiaan. Sakot ja muut rangaistuksetkin saattavat uhata, pahimmassa tapauksessa pakotetut laitevaihdot valmistajan piikkiin.

Ja jos kiinalaisten puhelimista paljastuu vastaava aukko, niin siitähän vasta 'riemastutaan'...
 

Kaakatus

Tukijäsen
Liittynyt
28.10.2016
Viestejä
371
Tavis-tehokäyttäjille näistä haavoittuvuuksista voisi olla hytyäkin jos niillä onnistuu puhelimen roottaaminen KNOX:ia laukaisematta mutta esim. yrityskäyttäjille
Yrityskäyttäjien tulisi muistaa kuka puhelimen omistaa ja vaikka olisi oma laite kyseessä, niin firmassa voi olla politiikka joka kieltää jailbreakit jne, jos puhelimella käytetään firman palveluilta...
 
Liittynyt
12.11.2016
Viestejä
180
Yrityskäyttäjien tulisi muistaa kuka puhelimen omistaa ja vaikka olisi oma laite kyseessä, niin firmassa voi olla politiikka joka kieltää jailbreakit jne, jos puhelimella käytetään firman palveluilta...
Joo, toki työntekijöiden viritykset ovat ongelma mutta tarkoitin lähinnä, että puhelinsoitolla korkattava puhelin + syvälle piilotettava huomaamaton haittaohjelma olisi aikamoinen painajainen yrityksille ja samalla suuri mainehaitta myös Samsungille.
 

prc

Liittynyt
18.10.2016
Viestejä
885
No VoLTE puheluista suurin ilo että netti toimii puhelun aikanakin.

VoWifistä omalla kohdalla suurin ilo, että (jos esim. kotona on kunnollinen Wifi-verkko) niin toimii niissäkin nurkissa missä ei ole mobiilikuuluvuutta ja akku tyhjenee hitaammin. Toki myös EU ulkopuolella normipuhelut järkihinnalla, mutta tätä iloa ei ole kovin usein.
Ilmankos en ole mitään mainittavaa hyötyä siitä löytänyt. Ei tule nettiä aktiivisesti käytettyä jos se luuri on korvalla, ja luurista ei ole mitään ssh/terminaali yhteyden tapaista mihinkään joka vaatisi jatkuvaa yhteyttä. Kaikki on jotain stateless push/pull tuhrua.

Tällä alueella tosiaan 4:llä eri luurilla Moi:n ja Elisa:n liittymällä VolTE pätkäisee puhelun silloin tällöin joskus 30 sekunnissa joskus 5 minutin sisään. Tuosta minä ja naapuri tehty vikailmoituksetkin, eipä ole muuttunut. Perin ärsyttävää. :/
 
Liittynyt
30.01.2021
Viestejä
392
On ne kaikki 4 korjattu
Hyvä, että 4 pahinta reikää on nyt tukittu esim. niiden Pixeleiden osalta. Sitä aiempaa viestiäni laatiessani ei vaan vielä tietopäivitystä näkynyt (viestin laadinta-ajankohtahan oli Suomen aikaa maanantaiaamua 20.3.2023).
 
Liittynyt
11.11.2016
Viestejä
451
Ilmankos en ole mitään mainittavaa hyötyä siitä löytänyt. Ei tule nettiä aktiivisesti käytettyä jos se luuri on korvalla, ja luurista ei ole mitään ssh/terminaali yhteyden tapaista mihinkään joka vaatisi jatkuvaa yhteyttä. Kaikki on jotain stateless push/pull tuhrua.

Tällä alueella tosiaan 4:llä eri luurilla Moi:n ja Elisa:n liittymällä VolTE pätkäisee puhelun silloin tällöin joskus 30 sekunnissa joskus 5 minutin sisään. Tuosta minä ja naapuri tehty vikailmoituksetkin, eipä ole muuttunut. Perin ärsyttävää. :/
On VoLTE:ssa se suuri etu, että puhelut toimivat 4G-verkon päällä. 3G-verkot puretaan Suomesta tänä vuonna, joten ilman VoLTEa olisi käytössä vain 2G-puhe.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
245 099
Viestejä
4 278 480
Jäsenet
71 599
Uusin jäsen
2teemu

Hinta.fi

Ylös Bottom