Auch Pixel-7-Serie betroffen: Einige Samsung-Exynos-Chipsätze weisen gefährliche Sicherheitslücken auf

Das sogenannte Project-Zero-Team bei Google hat eine Meldung veröffentlicht, wonach man dort gegen Ende des letzten Jahres bis Anfang dieses Jahres insgesamt achtzehn Day-Zero-Schwachstellen an Samsung weitergeleitet hat.

Jene versteckten sich im Basisband von Samsungs Exynos-Chipsätzen und könnten Angreifern eine Remotecodeausführung ermöglichen. Das Wichtigste vorweg: Bis die Schwachstellen von Samsung wirklich offiziell geschlossen wurden, soll es auf betroffenen Geräten reichen, sowohl Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) in den Geräteeinstellungen zu deaktivieren.

Wie man herausfinden konnte, könnte dem Angreifer allein die Telefonnummer seines Opfers reichen, um über mindestens vier der Schwachstellen einen Angriff auszuführen. Folgende Geräte sollen wohl den bisherigen Informationen nach zu den gefährdeten Geräten gehören:

  • Mobilgeräte von Samsung, einschließlich der Geräte der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04;
  • Mobilgeräte von Vivo, einschließlich der Geräte der Serien S16, S15, S6, X70, X60 und X30;
  • die Geräte der Pixel 6- und Pixel 7-Serie von Google;
  • alle Wearables, die den Exynos W920-Chipsatz verwenden; und
  • alle Fahrzeuge, die den Exynos Auto T5123-Chipsatz verwenden.

Zumindest für die Pixel-Geräte heißt es von Google, dass ein Fix für die Lücken im März-2023-Patch enthalten sei. Die restlichen Hersteller müssen nun entsprechend schnell agieren und die jeweiligen Updates verteilen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. Soweit ich weiß, wurde das Pixel 6 bisher nicht gepatcht.
    Und wann der Patch kommt ist ebenfalls nicht bekanntgegeben worden.
    Google sollte mal an seiner Kommunikation arbeiten. Gerade bei solchen anscheinend sehr kritischen Sicherheitslücken würde ich mir aktiveres Informieren wünschen.

    • Da kann ich dich zumindest in Grenzen beruhigen: Google hat über den Support mehrfach kommunziert, dass das März-Update für die P6-Reihe am 20. März kommt. Also sollte das alsbald behoben sein.

    • März Update kommt am kommenden Montag für das Pixel 6.

    • Pixel 4a: seit ein paar Tagen schon das März-Update drauf (manuell angestossen)

    • Mein Pixel6 mit GrapheneOS hat das Update schon seit zwei Tagen.

    • Da ist nichts kritisch. Für Google sind kritische Patches nur nötig wenn die Geräte nicht mehr richtig Daten sammeln oder keine Werbung mehr anzeigen. Der Rest ist alles Beiwerk. Google ist kein Smartphone Hersteller.

  2. Also mal manuell nach Updates suchen
    Irgendwie braucht mein Pixel7 gefühlt mindestens einen Monat bis es auf die Idee kommt selbst mal ein Update anzuzeigen. Suche ich manuell ist es sofort da.

  3. Wie passend das mir in diesem Artikel gleich Samsung Galaxy S23 Werbung angezeigt wird.

  4. Aufgrund einer sehr seltenen Kombination aus Zugriffsstufen, die diese Schwachstellen bieten, und der Geschwindigkeit, mit der wir glauben, dass ein zuverlässiger betrieblicher Exploit erstellt werden könnte, [..]

    Auszug aus Meldung des Teams Zero

    Wie üblich kein Angriffsszenario das Brandgefährlich ist und allen den Untergang bringt. Es sollte aber wieder zu denken geben, auf was man wer legt bei der Auswahl eines Handys, Tabletts oder IOT’s. Design, Preis, Marke oder doch lieber Updategarantien.

  5. Lustig, dass der Fehler von Google schon gepatcht wurde im März-Update, aber nicht von Samsung, wo doch Samsung den Exynos entwickelt hat und Google nur ein paar Änderungen/Ergänzungen/Sonderwünsche von Samsung hat umsetzen lassen. Wie kann es dann sein, dass Google den Patch verteilen kann, aber nicht Samsung selbst?
    Naja, wir haben hier neben drei Pixeln nur noch ein Galaxy S im Haushalt, damit wird eh kaum Telefoniert, also kann da auch VoLTE und WiFi-Calling abgeschaltet werden…
    Irgendwie skuril das ganze.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.