Một nhóm các nhà phân tích an ninh mạng của Google có tên Project Zero vừa công bố các lỗ hổng bảo mật lớn vẫn còn tồn tại trong một số thiết bị sử dụng modem Exynos. Theo báo cáo của Project Zero, một số modem Exynos do Samsung sản xuất tồn tại đến 18 lỗ hổng.

Project Zero phát hiện nhiều lỗ hổng bảo mật trên điện thoại Samsung, Google Pixel
Project Zero vừa công bố các lỗ hổng lớn vẫn còn tồn tại trong một số thiết bị sử dụng modem Exynos.

Project Zero đã liệt kê các thiết bị có modem Exynos bị ảnh hưởng bao gồm:

- Các thiết bị di động của Samsung thuộc dòng Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 và A04.

- Các thiết bị di động của Vivo, gồm các thiết bị thuộc dòng S16, S15, S6, X70, X60 và X30.

- Loạt thiết bị Pixel 6 và Pixel 7 của Google.

- Và bất kỳ thiết bị nào sử dụng chipset Exynos Auto T5123.

Đáng lo ngại, 4 trong số các lỗ hổng này đủ nguy hiểm để cho phép tin tặc thực hiện các cuộc tấn công trên mạng lợi dụng các lỗi của băng tần di động. Các tác nhân độc hại chỉ cần biết được số điện thoại của nạn nhân là có quyền truy cập vào điện thoại của họ.

Những lỗ hổng nguy hiểm này được báo cáo đã hết thời hạn 90 ngày, có nghĩa là các hãng sản xuất phải tung ra bản cập nhật càng sớm càng tốt.

Theo Google, dòng Pixel 6 và Pixel 7 hiện đã tung ra các bản vá cho lỗ hổng. Các nhà phát triển thiết bị khác vẫn chưa phát hành bản cập nhật của riêng họ.

Trong thời gian chờ đợi, Google khuyên người dùng nên tắt cuộc gọi qua Wi-Fi và Voice-over-LTE.

Project Zero, một trong những dự án an ninh mạng nổi tiếng và có quy mô lớn nhất trên thế giới, bắt đầu thành lập từ ngày 17/7/2014. Trong gần một thập kỷ hoạt động, các nhà nghiên cứu đã tìm kiếm và báo cáo hàng nghìn lỗ hổng, xuất hiện trong rất nhiều sản phẩm phần cứng và phần mềm của các hãng khác nhau.

Việc Google đặt ra thời hạn tiết lộ lỗ hổng, 90 ngày và có thể mở rộng thời hạn thêm 14 ngày với một số trường hợp cụ thể, đem lại nhiều lợi ích cho các nhà phát triển hơn là tin tặc. Việc kéo dài “hạn chót” giúp cải thiện công việc phát hiện lỗi của nhóm. Các công ty có thêm thời gian để nghiên cứu và phát triển bản vá, đồng thời, việc kéo dài hạn chót cũng nhằm hỗ trợ các nhà phát triển; bởi lẽ một số công ty dù đã làm xong bản vá nhưng vẫn phải chờ đến lịch phát hành bản cập nhật định kỳ của hãng thì mới có thể tung ra cho người dùng.