Google exhorte les propriétaires de certains téléphones Android à prendre des mesures urgentes pour se protéger des vulnérabilités critiques qui permettent aux pirates qualifiés de compromettre subrepticement leurs appareils en effectuant un appel spécialement conçu à leur numéro. Cependant, il n’est pas clair si toutes les actions préconisées sont même possibles, et même si elles le sont, les mesures neutraliseront les appareils de la plupart des capacités d’appel vocal.
La vulnérabilité affecte les appareils Android qui utilisent les chipsets Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080, Exynos Auto T5123 fabriqués par la division des semi-conducteurs de Samsung. Les appareils vulnérables incluent les Pixel 6 et 7, les versions internationales du Samsung Galaxy S22, divers téléphones Samsung de milieu de gamme, les Galaxy Watch 4 et 5 et les voitures équipées de la puce Exynos Auto T5123. Ces appareils sont UNIQUEMENT vulnérables s’ils exécutent le chipset Exynos, qui inclut la bande de base qui traite les signaux pour les appels vocaux. La version américaine du Galaxy S22 exécute une puce Qualcomm Snapdragon.
Un bogue identifié comme CVE-2023-24033 et trois autres qui n’ont pas encore reçu la désignation CVE permettent aux pirates d’exécuter du code malveillant, a rapporté jeudi l’équipe de vulnérabilité Project Zero de Google. Les bogues d’exécution de code dans la bande de base peuvent être particulièrement critiques car les puces sont dotées de privilèges système au niveau racine pour garantir que les appels vocaux fonctionnent de manière fiable.
« Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur, et exigent seulement que l’attaquant connaisse le numéro de téléphone de la victime », a écrit Tim Willis de Project Zero. « Avec une recherche et un développement supplémentaires limités, nous pensons que des attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils concernés en silence et à distance. »
Plus tôt ce mois-ci, Google a publié un correctif pour les modèles Pixel 7 vulnérables, mais les correctifs pour les modèles Pixel 6 n’ont pas encore été livrés à de nombreux utilisateurs, sinon à tous (le message Project Zero indique le contraire à tort). Samsung a publié une mise à jour corrigeant CVE-2023-24033, mais il a pas encore été livré aux utilisateurs finaux. Rien n’indique que Samsung ait publié des correctifs pour les trois autres vulnérabilités critiques. Jusqu’à ce que les appareils vulnérables soient corrigés, ils restent vulnérables aux attaques qui donnent un accès au niveau le plus profond possible.
La menace a incité Willis à mettre ce conseil tout en haut du message de jeudi :
Jusqu’à ce que des mises à jour de sécurité soient disponibles, les utilisateurs qui souhaitent se protéger des vulnérabilités d’exécution de code à distance en bande de base dans les chipsets Exynos de Samsung peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil. La désactivation de ces paramètres supprimera le risque d’exploitation de ces vulnérabilités.
Le problème est qu’il n’est pas tout à fait clair qu’il est possible de désactiver VoLTE, du moins sur de nombreux modèles. Une capture d’écran d’un utilisateur de S22 publiée sur Reddit l’année dernière montre que l’option de désactivation de VoLTE est grisée. Alors que le S22 de cet utilisateur exécutait une puce Snapdragon, l’expérience pour les utilisateurs de téléphones basés sur Exynos est probablement la même.
Et même s’il est possible de désactiver VoLTE, le faire en conjonction avec la désactivation du Wi-Fi transforme les téléphones en un peu plus que de minuscules tablettes sous Android. VoLTE est devenu largement utilisé il y a quelques années, et depuis lors, la plupart des opérateurs en Amérique du Nord ont cessé de prendre en charge les anciennes fréquences 3G et 2G.
Les représentants de Samsung ont déclaré dans un e-mail que la société avait publié en mars des correctifs de sécurité pour cinq des six vulnérabilités qui « pourraient potentiellement avoir un impact sur certains appareils Galaxy » et qu’elle corrigerait la sixième faille le mois prochain. L’e-mail n’a pas répondu aux questions demandant si l’un des correctifs est maintenant disponible pour les utilisateurs finaux ou s’il est possible de désactiver VoLTE. L’e-mail n’a pas non plus précisé que les correctifs n’ont pas encore été livrés aux utilisateurs finaux.
Un représentant de Google, quant à lui, a refusé de fournir les étapes spécifiques pour mettre en œuvre les conseils contenus dans la rédaction de Project Zero. Cela signifie que les utilisateurs de Pixel 6 n’ont aucune mesure d’atténuation actionnable pendant qu’ils attendent une mise à jour pour leurs appareils. Les lecteurs qui trouvent un moyen sont invités à expliquer le processus (avec des captures d’écran, si possible) dans la section des commentaires.
En raison de la gravité des bogues et de la facilité d’exploitation par des pirates informatiques qualifiés, le message de jeudi a omis des détails techniques. Dans sa page de mise à jour de sécurité du produit, Samsung a décrit CVE-2023-24033 comme une « corruption de la mémoire lors du traitement de l’attribut SDP accept-type ».
« Le logiciel de bande de base ne vérifie pas correctement les types de format de l’attribut accept-type spécifiés par le SDP, ce qui peut entraîner un déni de service ou l’exécution de code dans le modem Samsung Baseband », ajoute l’avis. « Les utilisateurs peuvent désactiver les appels WiFi et VoLTE pour atténuer l’impact de cette vulnérabilité. »
Abréviation de Session Description Protocol, SDP est un mécanisme permettant d’établir une session multimédia entre deux entités. Son utilisation principale est la prise en charge des appels VoIP en streaming et des vidéoconférences. SDP utilise un modèle offre/réponse dans lequel une partie annonce une description d’une session et l’autre partie répond avec les paramètres souhaités.
La menace est sérieuse, mais encore une fois, elle ne s’applique qu’aux personnes utilisant une version Exynos d’un des modèles concernés.
Jusqu’à ce que Samsung ou Google en disent plus, les utilisateurs d’appareils qui restent vulnérables doivent (1) installer toutes les mises à jour de sécurité disponibles en surveillant de près l’un des correctifs CVE-2023-24033, (2) désactiver les appels Wi-Fi et (3) explorez le menu des paramètres de leur modèle spécifique pour voir s’il est possible de désactiver VoLTE. Ce message sera mis à jour si l’une ou l’autre des sociétés répond avec des informations plus utiles.
Message mis à jour pour corriger la définition de SDP.