Une grave vulnérabilité présente dans plus d’un dixième des téléphones portables dans le monde pourrait permettre aux acteurs de la menace de tuer toutes les communications à un certain endroit, ont découvert des chercheurs.
Les analystes en sécurité de Check Point Research (CPR) ont découvert la faille du modem UNISOC qui, comme l’affirment les chercheurs, se trouve dans 11 % de tous les smartphones dans le monde (principalement en Afrique et en Asie).
Le modem permet la communication cellulaire et, en exploitant la faille, l’attaquant peut refuser à distance les services du modem et bloquer la communication.
Vulnérabilité critique du modem UNISOC
La faille est désormais suivie en tant que CVE-2022-20210 et porte un score de vulnérabilité de 9,4 sur 10, reflétant sa gravité.
Selon CPR, la vulnérabilité a été découverte dans les gestionnaires de messages NAS, qui pourraient être utilisés pour perturber la communication radio via un paquet mal formé. Apparemment, les pirates militaires ou parrainés par l’État pourraient l’utiliser pour tuer toutes les communications dans des endroits spécifiques.
Depuis la découverte de la faille, un correctif a été publié et tous les utilisateurs de smartphones sont invités à maintenir leurs appareils à jour à tout moment.
« Les utilisateurs d’Android n’ont rien à faire pour le moment, mais nous recommandons fortement d’appliquer le correctif qui sera publié par Google dans son prochain bulletin de sécurité Android », a déclaré Slava Makkaveev, Reverse Engineering & Security Research chez Check Point Software.
Bien qu’ils ne soient pas aussi connus que les défauts logiciels, les défauts matériels sont tout aussi fréquents et tout aussi dangereux. Plus tôt ce mois-ci, une faille de sécurité a été découverte dans les puces MSM de Qualcomm, qui aurait pu permettre aux acteurs de la menace d’accéder aux messages SMS et aux conversations téléphoniques dans un tiers des points de terminaison Android dans le monde.
Cette vulnérabilité, identifiée comme CVE-2020-11292, a également été découverte par Check Point Research, qui l’a découverte en utilisant un processus connu sous le nom de fuzzing pour tester le modem de la station mobile (MSM) de Qualcomm à la recherche de défauts dans son micrologiciel.