Sicherheitslücke bei Smartphones mit Exynos-Modem (CVE-2023-24033)

[nsmart]

Die aktuelle Warnung vom 16.03.2023 von Googles Project Zero (Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems) beginnt mit den Worten (frei übersetzt):

"Bis Sicherheitsupdates verfügbar sind, können Benutzer, die sich vor den Schwachstellen bei der Ausführung von Basisband-Remotecodes in den Exynos-Chipsätzen von Samsung schützen möchten, Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) in ihren Geräteeinstellungen deaktivieren."

Das klingt für mich nicht so, als gäbe es bereits seit zwei Monaten Updates von Samsung, sonst hätte Google geschrieben, man sollte zeitnah die verfügbaren Updates einspielen. Verfügbarkeit eines Updates bedeutet für mich, dass es ein Update gibt, dass ich OTA oder per SmartSwitch auf meinem Gerät installieren kann. Falls ein Entwicklerteam von Samsung intern Updates freigibt und anderen Entwicklern oder Firmen zur Verfügung stellt, dann hat das für den Endkunden erstmal wenig Relevanz, solange ein installierbares Update nicht auf dem Gerät des Benutzers ankommt.

 

[schinge]

Ich weiß nicht, woher die Annahme kommt, dass das Pixel 7/7Pro den Patch schon hat. Wenn ich diese Seite: Pixel Update Bulletin—March 2023 | Android Open Source Project richtig interpretiere, kann man sich auf den Google-Entwicklerseiten ein Image mit dem Patch herunterladen und per ADB-Sideload installieren. Dass der CVE-2023-24033 mit dem März-Update gefixt wurde, lese ich nicht raus. Aber vielleicht irre ich mich ja auch.

Die Version, die auf den Entwicklerseiten zur Verfügung steht (fürs P7P ist es beispielsweise die TQ2A.230305.008.C1), ist auch die, die seit letzten Montag als "März-Sicherheitsupdate" auf den Pixel-Geräten (außer der 6er-Reihe, die wohl ab Montag dran ist) verteilt wird. Mit hoher Wahrscheinlichkeit war dieser Patch auch der Grund, warum die Pixel-Updates nicht schon seit dem 06.03. (der 1. Montag im Monat ist i.d.R. der Patch-Day bei Google) verteilt wurden.

 

[Kain666]

@schinge korrekt, die Annahme gehe Ich mit. Google könnte hier auch etwas mehr kommunizieren.

 

[Fuhrmann]

Damit nicht Artikel u Quellen selbst öffnen muss, hier mal die betroffenen Chips zusammengefasst:
@Tanis64: <Betroffene Chips sind Exynos Modem 5123 und 5300, Exynos 980 und 1080 sowie Exynos Auto T5123.....

• Samsung Smartphones der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04,
• Vivo-Smartphones der Reihen S16, S15, S6, X70, X60 und X30,
• Googles Pixel 6 und 7,
• Wearables mit Exynos W920 Chip und
• Fahrzeuge mit Exynos T5123 Chip.>

Von mir ergänzt:
Dazu noch: Samsung Semiconductor selbst erwähnt konkret noch die Exynos 850, 1280 u 2200

 

[moidept]

Fahrzeuge mit Exynos Auto T5123 Chip ?
Welche Fahrzeug Modelle wären das, hat wer da weitere Informationen darüber!

 

[braindealer]

Alter Schwede, dieser Moment, wenn man sein altes FFOB/ZB vermisst, als die Welt noch "in Ordnung war"

Jaor der Ackerschnacker war schon Lustig

 

[Fuhrmann]

@moidept so wie ich glaube herausgefunden zu haben, alle Autohersteller, die mit Dual-Core Cortex Chip werben.
Der hat, wenn überhaupt, nur ganz geringe Multimedia Fähigkeiten u wurde wohl ab 2021 verbaut.
Die neueren V7, V9 u 8890 scheinen (noch? ) nicht betroffen zu sein.

 

[chk142]

Alter Schwede, dieser Moment, wenn man sein altes FFOB/ZB vermisst, als die Welt noch "in Ordnung war"

Ich denke, die Kunst liegt in diesen Tagen darin, sich nicht ständig von solchen "Sack Reis in China" Meldungen verrückt machen zu lassen. In spätestens ein paar Wochen ist das alles, wie bei all den Sachen vorher auch, wieder komplett vergessen.

Das ist doch gerade der Sinn solcher Meldungen: Angst machen und Auflage erhöhen. Das ist geil, das macht Spaß.

Wenn ich schon wieder sehe, wie die Leute drauf abfahren. Oh Mann... es ist echt immer das gleiche.

 

[extremecarver]

Da google es veröffentlicht BEVOR die Patches verteilt sind - wird die Lücke wohl eindeutig ausgenutzt. Und ja man kann stark annehmen das Geheimdienste bzw Hacking Dienste ala der Firmen aus Israel den Bug schon länger nutzen.

Das ganze zeigt halt generell ein Problem bei Android auf - im Prinzip müsste Goolge alle Hersteller verpflichten die Patches innerhalb von 1-2 Wochen nach Veröffentlichung zu verteilen - und ganz einfach die Phones die das nicht haben aus Play Store und google Diensten aussperren. Dann würden die meisten Hersteller (China OS wohl ausgenommen) sehr schnell umschwenken.
Hat google wirklich soviel Angst davor dass User zu APKPure und Co awandern?
Spätestens 1 Monat nach Veröffentlichung des Sicherheitspachtes wird es ja eh veröffentlicht - vorher nur bei Zero Day Bugs. Dazu - sämtliche zertifizierten Android Hersteller bekommen die Sources ja schon 1 Monat zuvor - das muss einfach zeitmäßig ausreichen.

Und gehackte Smartphones nehmen mehr und mehr zu. Man kann ja schließlich inzwischen mit gehacktem Smartphone meist leicht ein paar Konten ausräumen bzw noch profitabler ein paar Aktiendepots zu Ramsch verwandeln (das ist noch viel lukrativer)

 

[chk142]

Da google es veröffentlicht BEVOR die Patches verteilt sind - wird die Lücke wohl eindeutig ausgenutzt.

Wenn dem so wäre, dann hätte man mit Sicherheit etwas davon gelesen.

 

[extremecarver]

Das ist die Definition von Zero Day... Sprich es wird schon aktiv ausgenutzt. Ansonsten veröffentlicht Google die Sources erst 1 Monat nach dem verteilen der Patches (bis auf die Hersteller (mit Ausnahme Huawei da ja nicht mehr zertifiziert) - welche den Quellcode schon 1 Monat vor erscheinen der Patches bekommen).
Die Frage ist nicht wird es schon ausgenutzt, sondern wie verbreitet ist das ausnutzen dieses Bugs!

 

[Blacky12]

Geht hier nicht um den Chip Tensor oder Exynos , sondern um das Verbaute Modem.
Insofern könnte auch ein Gerät mit Snapdragon oder MTK Prozessor betroffen sein. Wen auch deutlich weniger wahrscheinlich.

Gibt es eigentlich eine App, mit der man die Hardware-Componenten auslesen kann? Ich habe DevCheck, konnte dort aber keine Angaben zum Modem finden.

 

[Fuhrmann]

@chk142 das hängt wohl eher davon ab was man liest.
Festgestellt hat Google es ja schon am 12.11.2022 und unter CVE-2023-24033 im Januar veröffentlicht.

 

[chk142]

Das ist die Definition von Zero Day... Sprich es wird schon aktiv ausgenutzt.

Das was du beschreibst ist ein Zero-Day Exploit. "Zero Day" bezeichnet im Grunde nur, dass die Schwachstelle den Entwickler nicht bekannt war, bevor jemand drauf gekommen ist. Und, es sagt auch überhaupt nichts darüber aus, wie leicht oder schwer oder überhaupt nicht die Sicherheitslücke ausgenutzt werden kann.

@chk142 das hängt wohl eher davon ab was man liest.
Festgestellt hat Google es ja schon am 12.11.2022 und unter CVE-2023-24033 im Januar veröffentlicht.

Und das sagt nichts aus darüber, ob die Lücke bereits aktiv genutzt wurde.

Aber, lasst uns nicht weiter diskutieren. In ein paar Tagen kräht eh kein Hahn mehr danach. Dann heißt es nur noch "bis zur nächsten kritischen Sicherheitslücke", die sicher ebenfalls wieder dankbar angenommen wird. Was wäre das Leben auch ohne Sensationen und Katastrophen.

Erinnert sich eigentlich noch jemand an Meltdown oder Spectre? Oder daran, wie einem nachdem die ersten Fixes kamen eingeredet wurde, dass diese Fixes 40 oder 50% Performance des Computers kosten?

Ich hoffe wirklich, dass es Menschen gibt, die sich an all diese Dinge erinnern. Und nicht anständig den Alarmisten zum Opfer fallen. Die haben da nämlich echt Spaß dran.

 

[RealAudipower]

Meine Güte da hat aber schnell einer aus einer kleinen Diskussion über eine beliebige Sicherheitslücke und die damit Verbundende schlechte Informationspolitik von Hardwareherstellern und Google als Lieferant des Betriebssystems, eine ausgewachsene Verschwörungs Grundlage gezüchtet.

Da ist ja alles dabei Geheimdienste , Fremde Länder inklusive eigenem OS , Google ist der allein Verantwortliche für alle Patches.

Und Lösung klar Leute die ein Handy mit einer Sicherheitslücke haben und der Hersteller nicht fix genug ist bekommen einfach gar keine Updates mehr, so löst man Probleme.

Man danke für diesen Beitrag, so zerstört man Threads. Und macht aus Unterhaltungen Grundlagen für Aluhüte

 

[RealAudipower]

@chk142 Na die Frage ist ja worüber man Diskutiert, ist ja durchaus sinnvoll über gewisse Randerscheinungen zu Reden. Und vorallem wertvoll wen Teilnehmer mit Kenntnis der Materie solche Infos einordnen. Grade das verhindert ja das solche Themen so aufgepumpt werden, sowas lebt ja einfach von Resonanz.

Und hier muss man ja Trennen das eine ist schlechte Kommunikation über die man sich beschwert, und darum ging es ja hier am Anfang. Welche Geräte betroffen, Grundlegende Infos und die Feststellung das Hersteller besser Kommunizieren sollten, Und es eben nicht irgendwelchen Internet möchte gern Experten und Trollen Überlassen sollten. Auch im Interesse nicht nur Schlagzeilen zu Produziren.

Erst wen dann Leute Geheimdienste und die Großen Verschwörungen und irgendwelche uninformierten Klatsch Posten, wird es schwierig.

Aber dir scheint ja wie mir und einigen anderen an Aufklärung zu Liegen, und da kann man sich nicht einfach herausziehen. Irgendwer muss ja den Internetgossip und Schlagzeilen Geilheit gegenüber stehen.

 

[Khirdik]

Das ganze zeigt halt generell ein Problem bei Android auf

Alle sind von Zero-Day betroffen. Immerhin kommunizieren Google und Co. Apple schweigt sich grundsätzlich über Schwachstellen aus und man bekommt Betroffenheit nur mit, wenn sie einen Exploit patchen.

 

[martinfd]

Wie ist das jetzt: wenn ich auf dem Pixel 6 den März-Patch installiert hab', kann ich dann davon ausgehen, dass das Problem behoben wurde und ich VoLTE und VoWiFi wieder aktivieren kann?

 

[RealAudipower]

es gab nie einen handfesten Grund irgendwas abzuschalten, Insofern ja schalte VoLTE und VoWiFi wieder ein es wird nichts Passiren egal ob mit oder ohne Patch. Die Schwachstelle ist ja schon ne weile bekannt und da ist auch nichts Passiert.

 

[schinge]

Ja, die vier schwerwiegenden Fehler (mittlerweile haben alle CVE-IDs) sind mit den Pixel-März-Updates gefixt.