Pixel 6/7採用のSamsung製モデムに脆弱性。対策までLTE/Wi-Fi通話オフを推奨

Pixel 7 Pro

　GoogleのProject Zeroチームは、2022年後半から2023年初にかけてSamsung Semiconductor製のExynosモデムに18件のゼロディ脆弱性があると報告し、このうちもっとも深刻な4つの脆弱性(CVE-2023-24033と割り当てられていない3つ含む)は、インターネット経由によるベースバンドへの攻撃で、リモートコードの実行が可能で、それを実証したという。攻撃者に必要なのはユーザーの電話番号だけだった。

　Project Zeroは普段であれば標準の公開ポリシーに従って脆弱性をソフトウェア/ハードウェアベンダーに報告した後に、一定期間を経て公開するとしているが、今回のベースバンドのリモートコード実行の脆弱性については、悪用したい攻撃者にとってかなり有利な条件になってしまうため、ポリシーの例外を設けて開示を遅らせた。

　Samsungの通知によれば、以下の製品に脆弱性が含まれる可能性があるという。

• Google Pixe 6およびPixel 7シリーズデバイス
• S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、およびA04シリーズを含むSamsung製デバイス
• S16、S15、S6、X70、X60、X30シリーズを含むVivoのモバイルデバイス
• Exynos W920チップセットを使用するウェアラブルデバイス
• Exynos Auto T5123チップセットを使用する自動車

　脆弱性修正パッチはデバイスによって時期が異なり、たとえばGoogle Pixelシリーズの場合はCVE-2023-24033に対する修正パッチは3月に提供済み。それ以外の影響を受けるデバイスでは、デバイスの設定でWi-Fi通話およびVoLTEをオフにすることで、ベースバンドリモートコード実行の脆弱性から保護できるという。

　一方、残る14件に関しては発見から90日で公開されるが、悪意のあるモバイルネットワークオペレータまたはデバイスへのローカルアクセスを持つ攻撃者のいずれかが必要なため、それほど深刻ではないとしている。