La Galaxy S22 est l’un des meilleurs téléphones Android vous pouvez acheter, mais ce n’est pas sans défauts, comme l’ont démontré les participants au concours de piratage Pwn2Own de cette année.
Au cours de l’événement de quatre jours qui s’est tenu à Toronto, le smartphone phare du géant du matériel coréen a été piraté par plusieurs concurrents et deux ont même réussi à trouver des vulnérabilités zero-day et à les exploiter avec succès. Cependant, le troisième jour de Pwn2Own 2022, des chercheurs en sécurité ont réussi à pirater le Galaxy S22 en moins d’une minute.
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet), des chercheurs en sécurité de Pentest Limited ont présenté une démonstration d’un bug zero-day pour le Galaxy S22 qui utilisait une attaque de validation d’entrée incorrecte pour accéder à l’appareil en seulement 55 secondes. Étant donné que Pwn2Own est un concours de piratage parrainé par l’initiative Zero Day à Trend Microles chercheurs en sécurité ont reçu cinq points et ont remporté un prix de 25 000 $.
Il convient de noter que tous les smartphones Galaxy S22 piratés sur Pwn2Own fonctionnaient sous Android 13 avec toutes les dernières mises à jour de Samsung installées dans le cadre du règlement du concours (s’ouvre dans un nouvel onglet).
Jours zéro Samsung Galaxy S22
Alors que Pwn2Own s’est terminé en beauté avec le Galaxy S22 piraté en 55 secondes, il a en fait été piraté à quatre reprises pendant la compétition.
En effet, lors de la première journée de compétition, deux vulnérabilités zero-day ont été découverts sur l’appareil et exploités avec succès par les concurrents. Pour ceux qui ne sont pas familiers, un zero-day est un type de vulnérabilité qui était auparavant inconnu du créateur d’un appareil et un correctif n’est pas encore disponible.
L’équipe des laboratoires STAR a trouvé et exploité le premier bogue zero-day sur le Galaxy S22 en exécutant une attaque de validation d’entrée incorrecte qui leur a valu 50 000 $ et 5 points. Un autre concurrent nommé Chim a trouvé un autre jour zéro et a fait la démonstration d’un exploit réussi pour gagner 25 000 $ et 5 points.
Faut-il s’inquiéter ?
Si vous possédez un Samsung Galaxy S22, la nouvelle que votre téléphone a été piraté en moins d’une minute pourrait vous inquiéter pour votre appareil et les données qui y sont stockées. Cependant, vous ne devriez pas l’être.
Les concours de piratage comme Pwn2Own sont conçus pour donner aux chercheurs en sécurité et aux pirates éthiques l’occasion de montrer leurs compétences, mais ils profitent également aux entreprises dont les appareils sont piratés. Si un cybercriminel découvrait les zero-days évoqués ci-dessus, cela serait préoccupant car il pourrait les utiliser dans des attaques avant que Samsung n’ait la possibilité de les corriger. Dans ce cas cependant, Samsung et d’autres fournisseurs sont bien conscients de ce qui se passe chez Pwn2Own et leurs ingénieurs travaillent probablement sur la résolution de ces problèmes en ce moment.
Samsung n’était pas le seul fabricant d’appareils dont les produits ont été piratés par Pwn2Own, car les périphériques de stockage en réseau (NAS), les routeurs, les haut-parleurs intelligents et les imprimantes de Cisco, Netgear, Canon, Ubiquiti, Sonos, Lexmark, Synology et Western Digital ont également été compromis et exploité pendant la compétition.
Si vous souhaitez une sécurité supplémentaire pour votre Samsung Galaxy S22, vous pouvez toujours installer l’un des meilleures applications antivirus Android qui peut repérer les logiciels malveillants en ligne et s’assurer qu’ils n’infectent pas votre smartphone.