Google a émis un avertissement pour certains smartphones Samsung, Pixel et Vivo quant à des vulnérabilités critiques qui pourraient permettre à des pirates de compromettre ces appareils en passant un appel spécial vers leur numéro de téléphone.
La faille de sécurité affecte les appareils Android qui utilisent les puces Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 et Exynos Auto T5123 fabriquées par Samsung. Les versions internationales du Samsung Galaxy S22 (la version américaine utilise une puce Qualcomm Snapdragon), certains téléphones Samsung de milieu de gamme, les Galaxy Watch 5 et 5 pro, les Pixel 6 et 7, et les voitures qui utilisent la puce Exynos Auto T5123 pourraient être exploités, a averti « Project Zero » de Google dans un message.
Selon le message, l’équipe de Google a trouvé au moins 18 exploitations possibles qui pourraient être utilisées pour cibler les appareils susmentionnés qui fonctionnent avec des puces Exynos. Les propriétaires des appareils concernés devraient installer les prochaines mises à jour dès que possible, en fonction du calendrier établi par le fabricant pour chacun des appareils.
« Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un pirate de compromettre à distance un téléphone au niveau de sa bande passante sans aucune interaction avec l’utilisateur. Il suffit que le pirate connaisse le numéro de téléphone de la victime. Avec un peu plus de recherche et de développement, nous pensons que des pirates compétents pourraient rapidement créer un programme d’exploitation opérationnel permettant de compromettre les appareils concernés à distance et en toute discrétion », a écrit Tim Willis, de Google, dans ce billet daté du 16 mars.
Les quatorze autres vulnérabilités « ne sont pas aussi graves », a-t-il ajouté, « car elles nécessitent soit un opérateur de réseau mobile malveillant, soit un pirate disposant d’un accès local sur l’appareil ».
L’équipe de sécurité de Google a indiqué qu’en attendant, certains utilisateurs d’Android pourraient éviter d’être piratés en désactivant les appels Wi-Fi et la voix sur LTE, également appelée VoLTE, à partir des paramètres de leur appareil.
« En attendant que des mises à jour de sécurité soient disponibles, les utilisateurs qui souhaitent se protéger contre les vulnérabilités relatives à l’exécution de codes à distance dans la bande de base des puces Exynos de Samsung peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) en modifiant les paramètres de leur appareil. La désactivation de ces paramètres permet d’éliminer le risque de voir ces vulnérabilités exploitées », a écrit M. Willis.
Samsung a publié une déclaration confirmant que la société était au courant des failles de sécurité potentielles et a indiqué qu’elle allait publier des mises à jour pour les appareils concernés. Elle a conseillé aux propriétaires de mettre à jour le logiciel de leur smartphone Android.
« Samsung a déterminé que six vulnérabilités pouvaient potentiellement affecter certains appareils Galaxy, dont aucune n’était ‘grave’, et a publié des correctifs de sécurité pour cinq d’entre elles au mois de mars », a déclaré le géant technologique coréen à CNET. « Un autre correctif de sécurité sera publié au mois d’avril pour remédier à la dernière vulnérabilité ».
Appareils concernés
Les appareils concernés sont les modèles S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 de Samsung, ainsi que les modèles S16, S15, S6, X70, X60 et X30 de Vivo, selon Google. Les autres appareils affectés incluent les Google Pixel 6 et 7, tous les véhicules qui utilisent le chipset Exynos Auto T5123, a ajouté l’entreprise.
Selon le site web de sécurité Sophos, même si « les recherches de Google se sont concentrées sur des appareils qui utilisent un composant modem de bande de base de marque Samsung Exynos », cela « ne signifie pas nécessairement que le système à puce s’identifie ou se distingue comme étant un Exynos ».
« Par exemple, les récents appareils Pixel de Google utilisent une puce système propre à Google, baptisée Tensor, mais les Pixel 6 et Pixel 7 sont tous deux vulnérables face à ces anomalies de bande de base qui restent méconnues », a déclaré la société Sophos.
Google a indiqué que les failles ont été découvertes à la fin de l’année 2022 et au début de l’année 2023. L’équipe « Project Zero » a précisé qu’elle avait choisi de ne pas divulguer quatre autres vulnérabilités du fait de l’existence de failles de sécurité toujours en cours d’exploitation.
Sur son site Web de mise à jour de sécurité, Samsung a décrit l’un des bogues – CVE-2023-24033 – comme une « corruption de la mémoire lors du traitement de l’attribut SDP de type accept ».
« Le logiciel de bande de base ne vérifie pas correctement les types de format de l’attribut accept-type spécifié par le SDP, ce qui peut entraîner un refus de service ou une exécution de code sur le modem de bande de base de Samsung », indique l’avis. « Les utilisateurs peuvent désactiver les appels WiFi et VoLTE pour atténuer les conséquences de cette vulnérabilité. »
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.