L’unité de recherche en sécurité de Google tire la sonnette d’alarme sur un ensemble de vulnérabilités qu’elle a trouvées dans certaines puces Samsung incluses dans des dizaines de modèles, appareils portables et véhicules Android, craignant que les failles ne soient bientôt découvertes et exploitées.
» silencieusement et à distance » sur le réseau cellulaire.
« Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur, et exigent seulement que l’attaquant connaisse le numéro de téléphone de la victime », a déclaré Willis.
En acquérant la capacité d’exécuter du code à distance au niveau de la bande de base d’un appareil – essentiellement les modems Exynos qui convertissent les signaux cellulaires en données numériques – un attaquant pourrait obtenir un accès quasi illimité aux données entrant et sortant d’un appareil affecté, y compris appels cellulaires, messages texte et données cellulaires, sans alerter la victime.
Au fur et à mesure des divulgations, il est rare de voir Google – ou toute société de recherche en sécurité – sonner l’alarme sur les vulnérabilités de haute gravité avant qu’elles ne soient corrigées. Google a noté le risque pour le public, déclarant que des attaquants qualifiés « seraient capables de créer rapidement un exploit opérationnel » avec des recherches et des efforts limités.
Maddie Stone, chercheuse du Projet Zéro écrit sur Twitter que Samsung avait 90 jours pour corriger les bugs, mais ne l’a pas encore fait.
Samsung a confirmé dans une liste de sécurité de mars 2023 que plusieurs modems Exynos sont vulnérables, affectant plusieurs fabricants d’appareils Android, mais a fourni peu d’autres détails.
Selon Project Zero, les appareils concernés comprennent près d’une douzaine de modèles Samsung, des appareils Vivo et les combinés Pixel 6 et Pixel 7 de Google. Les appareils concernés comprennent également les appareils portables et les véhicules qui s’appuient sur les puces Exynos pour se connecter au réseau cellulaire.
Google a déclaré que les correctifs varieront selon le fabricant, mais a noté que ses appareils Pixel sont déjà corrigés avec ses mises à jour de sécurité de mars.
Jusqu’à ce que les fabricants concernés envoient des mises à jour logicielles à leurs clients, Google a déclaré que les utilisateurs qui souhaitent se protéger peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil, ce qui « supprimera le risque d’exploitation de ces vulnérabilités ». ”
Google a déclaré que les 14 vulnérabilités restantes étaient moins graves car elles nécessitaient soit l’accès à un appareil, soit un accès privilégié ou privilégié aux systèmes d’un opérateur de téléphonie mobile.