Smartphones, appareils portables et même voitures qui utilisent Samsung Jeu de puces Exynos pourraient être menacés d’attaque suite à la découverte de 18 vulnérabilités zero-day par Project Zero de Google.
L’équipe de chasse aux bogues du géant de la recherche a découvert et signalé les failles entre la fin de l’année dernière et le début de cette année. Alors que certains ont déjà été corrigés, d’autres n’ont pas encore reçu de correctif.
Sur les 18 failles zero-day découvertes, quatre sont considérées comme extrêmement graves car elles pourraient permettre l’exécution de code à distance. Pour aggraver les choses, ces bogues d’exécution de code à distance (RCE) Internet vers bande de base ne nécessitent pas d’interaction de l’utilisateur pour être exploités.
Dans un conseil en sécurité (s’ouvre dans un nouvel onglet) décrivant l’une des vulnérabilités (suivi comme CVE-2023-24033 (s’ouvre dans un nouvel onglet)), Samsung a fourni plus de détails sur la faille, en disant : « Le logiciel de bande de base ne vérifie pas correctement les types de format d’attribut de type accepté spécifiés par le SDP, ce qui peut conduire à un déni de service ou à l’exécution de code dans Samsung Baseband Modem ».
Il est à noter que le meilleurs téléphones Samsung vendus aux États-Unis ne sont pas affectés car ils utilisent les modems de Qualcomm par opposition à ceux fabriqués par Samsung lui-même. Pourtant, les propres appareils Pixel de Google et même certains des meilleures montres Samsung qui utilisent les chipsets Exynos.
Téléphones Samsung et Pixel vulnérables
Dans un article de blog (s’ouvre dans un nouvel onglet)chef du projet Zero Tim Willis a expliqué que l’équipe de Google a effectué des tests pour confirmer que les quatre failles zero-day les plus graves pourraient permettre à un attaquant de compromettre à distance un appareil Samsung ou Pixel vulnérable « au niveau de la bande de base sans interaction de l’utilisateur ».
Au lieu d’utiliser un logiciel malveillant ou une application malveillante pour obtenir un accès initial à l’appareil d’une victime, un attaquant a juste besoin de connaître son numéro de téléphone.
Les quatorze autres vulnérabilités zero-day des puces Exynos de Samsung ne sont pas aussi graves et pour les exploiter, un attaquant aurait besoin d’un accès local à un smartphone vulnérable ou aurait besoin de l’aide d’un opérateur de réseau mobile malveillant.
Samsung Semiconductor a dressé une liste de tous les chipsets Exynos concernés, qui se trouvent dans son avis de sécurité ci-dessus. Cependant, d’après les recherches de Project Zero, les smartphones suivants sont concernés :
- Samsung S22
- Samsung M33
- Samsung M13
- Samsung M12
- Samsung A71
- Samsung A53
- Samsung A33
- Samsung A21s
- Samsung A13
- Samsung A12
- Samsung A04
- Vive S16
- Vivo S15
- Vivo S6
- Vivo X70
- Vivo X60
- Vivo X30
- Pixel 6
- Pixel 6 Pro
- Pixel 6a
- Pixel 7
- Pixel 7 Pro
Comme nous l’avons mentionné ci-dessus, seuls les téléphones Samsung vendus en Europe et en Corée utilisent généralement les propres chipsets Exynos de l’entreprise. Celles vendues aux États-Unis ne le sont pas, mais les montres intelligentes de Samsung, y compris la Montre Samsung Galaxy 5 et d’autres le font. De même, tout véhicule qui utilise le chipset Exynos Auto T5123 de Samsung est également affecté par ces défauts.
Certains appareils ont été corrigés et il existe une solution de contournement pour d’autres
Selon BipOrdinateur (s’ouvre dans un nouvel onglet), Samsung a déjà proposé des mises à jour de sécurité qui corrigent ces vulnérabilités et les a envoyées aux fournisseurs qui utilisent les chipsets concernés dans leurs appareils. Cependant, les correctifs ne sont pas encore publics et ne peuvent pas être appliqués par tous les utilisateurs concernés.
Certains fabricants d’appareils ont déjà commencé à les déployer, y compris Google qui a corrigé les bogues RCE Internet vers bande de base dans son Mises à jour de sécurité de mars 2023 pour les téléphones Pixel.
Pour ceux qui possèdent un appareil concerné qui n’a pas encore été mis à jour, Project Zero propose une solution de contournement. Jusqu’à ce que vous receviez la mise à jour de sécurité corrigeant ces failles du jour zéro, vous devez désactiver à la fois les appels Wi-Fi et la voix sur LTE (VoLTE), car il s’agit du principal vecteur d’attaque qui serait utilisé pour les exploiter.
Une fois que les mises à jour sont disponibles, vous devez les installer immédiatement car les attaquants pourraient travailler sur des moyens d’exploiter ces failles dans leurs attaques maintenant que leur existence a été rendue publique.