Google a trouvé 18 failles zero day dans des puces Exynos de Samsung

Galaxy S22


L’équipe de chercheurs en sécurité de Google a trouvé de nombreuses vulnérabilités dans certaines puces fabriquées par Samsung. Des dizaines de modèles de smartphones Android, mais aussi des wearables et des voitures, seraient touchés par ces failles.

Les chercheurs en sécurité de Google Project Zero ont encore frappé. Ces experts en sécurité, dont la mission est de faire la chasse aux vulnérabilités zero day, viennent d’annoncer avoir trouvé au cours des derniers mois, pas moins de 18 failles de ce type dans les modems Exynos fabriqués par Samsung.

Quatre failles zero day hautement critiques

Sur ces 18 vulnérabilités, quatre d’entre elles sont considérées comme de haute importance puisqu’elles auraient déjà été exploitées par des âmes mal intentionnées pour exécuter du code à distance dans le baseband de plusieurs appareils.

« Les tests effectués par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau du baseband sans interaction de l’utilisateur, et exigent uniquement que l’attaquant connaisse le numéro de téléphone de la victime. » expliquent les chercheurs en sécurité de Google.  « Avec une recherche et un développement supplémentaires limités, nous pensons que les attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils affectés silencieusement et à distance. » ont-ils fini par compléter. complété les experts en sécurité de Project Zero

Les quatorze autres failles zero day qui ont été trouvées sont quant à elles moins graves. En effet, pour être exploitées, elles requièrent soit un opérateur de réseau mobile malveillant, soit qu’un attaquant disposant d’un accès local à l’appareil concerné.

Des dizaines d’appareils touchés par ces vulnérabilités zero day

Sur son site Web, Samsung a fourni la liste des chipsets Exynos touchés par ces failles zero-day. Et le moins que l’on puisse dire, c’est que la liste des appareils touchés par ces brèches est assez importante. Les produits concernés seraient les suivants :

  • Les smartphones Samsung Galaxy S22, M33, M13, 12, A71, A53, A33, A21, A13, A12 et A04
  • Les smartphones Vivo S16, S15, S6, X70, X60 et X30
  • Les Google Pixel 6 et Pixel 7
  • Tous les appareils embarquant un chipset Exynos W920 (qui équipe notamment la Galaxy Samsung Watch 4)
  • Tous les véhicules utilisant un chipset Exynos Auto T5123 (utilisé pour fournir une connexion 5G aux véhicules)

Si des mises à jour correctives ont déjà été appliquées sur certains appareils, comme les Pixel 6 et Pixel 7, les chercheurs du Project Zero pensent que les délais pour obtenir des patches correctifs sur certains appareils varieront en fonction des fabricants. Par conséquent, ils recommandent vivement de procéder à l’installation des mises à jour des appareils dès lors que celles-ci sont proposées par les fabricants. En attendant que tous les constructeurs concernés se penchent sur la question, les chercheurs en sécurité donnent quelques conseils. Pour limiter les risques d’attaque, ils suggèrent de désactiver les appels Wi-Fi ainsi que la voix sur LTE (VoLTE) dans les paramètres de leur appareil.

Source :

Google Project Zero



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.