Project Zero, el equipo de investigación de seguridad de Google, ha encontrado algunos problemas importantes con los módems de Samsung que alimentan dispositivos como Pixel 6, Pixel 7 y algunos modelos Galaxy S22 y A53. Según su publicación de blog, una variedad de módems Exynos tienen una serie de vulnerabilidades que podrían «permitir que un atacante comprometa de forma remota un teléfono de nivel de banda base sin ninguna interacción del usuario» sin necesitar mucho más del número de teléfono de la víctima. Y, de manera frustrante, Samsung parece estar dando largas para arreglarlo.

El equipo también advierte que los piratas informáticos experimentados podrían explotar el problema «con solo una investigación y desarrollo adicionales limitados». Sin embargo, Google dice que la actualización de seguridad de marzo para Pixel debería solucionar el problema 9to5Google tenga en cuenta que aún no está disponible para Pixel 6, 6 Pro y 6a (también verificamos en nuestro 6a y no ha habido ninguna actualización). Los investigadores dicen que creen que los siguientes dispositivos pueden estar en riesgo:

Vale la pena señalar que para que los dispositivos sean vulnerables, deben estar usando uno de los módems Samsung afectados. Para muchos propietarios de S22, eso puede ser un alivio: los teléfonos vendidos afuera de Europa y algunos países africanos tienen un procesador Qualcomm y también usan un módem Qualcomm, y por lo tanto deberían estar a salvo de estos problemas específicos. Pero los teléfonos con procesadores Exynos, como el popular A53 de gama media y el S22 europeo, podrían ser vulnerables.

En teoría, el S21 y el S23 son seguros: los buques insignia más nuevos de Samsung usan Qualcomm en todo el mundo, y los más antiguos con chips Exynos usan un módem que no aparece en la lista de chips afectados de Samsung.

Si sabe que su teléfono está usando uno de los módems vulnerables y le preocupa que sea explotado (recuerde que los ataques podrían «comprometer los dispositivos afectados de forma silenciosa y remota»), Project Zero dice que puede protegerse apagando Wi-Fi y llamadas de voz a través de LTE. Sí, tus llamadas serán peores, pero probablemente valga la pena.

Tradicionalmente, los investigadores de seguridad esperan hasta que haya una solución disponible antes de anunciar que han encontrado el error, o hasta que ha pasado una cierta cantidad de tiempo desde que lo informaron y no hay una solución a la vista. Parece ser el último caso aquí – como – notas, investigadora del Proyecto Cero, Maddie Stone tuiteó que «los usuarios finales aún no han parcheado 90 días después del informe», lo que parece ser un producto de Samsung y otros proveedores que necesitan para abordar el problema.

Samsung no respondió de inmediato El límitesolicitud de comentarios sobre por qué no parece haber un parche todavía.

En total, Project Zero encontró 18 vulnerabilidades de módem. Cuatro son los realmente malos que permiten la «ejecución remota de código desde Internet de banda base», y Google dice que no compartirá más información sobre ellos en este momento, a pesar de su política habitual de divulgación. (Nuevamente, debido al hecho de que él cree que podrían explotarse muy fácilmente). El resto eran más menores y requerían «un operador de red móvil malicioso o un atacante con acceso local al dispositivo». Para ser claros, todavía no es genial, hemos visto lo endeble que puede ser la seguridad del operador, pero al menos no son tan malos como los demás.