Pour certains appareils Android, Project Zero de Google conseille à des utilisateurs de désactiver temporairement les appels Wi-Fi et les appels 4G. Ils font écho aux technologies VoWiFi (Voice over WiFi) et VoLTE (Voice over LTE ; Voice over Long Term Evolution).
Cette recommandation étonnante est en lien avec des vulnérabilités de sécurité qui affectent des modems Exynos de Samsung. Entre fin 2022 et début 2023, les hackers d’élite de Google ont ainsi découvert et signalé 18 vulnérabilités 0-day en rapport avec ces puces.
L’alerte vaut essentiellement pour quatre vulnérabilités critiques plus facilement exploitables. L’une d’elles est référencée CVE-2023-24033, tandis que les trois autres n’ont pas encore d’identifiant CVE (Common Vulnerabilities and Exposures) attribué.
Un exploit à la portée d’attaquants expérimentés
» Les tests effectués par Project Zero confirment que les quatre vulnérabilités permettent à un attaquant de compromettre à distance un smartphone au niveau du baseband (ndlr : la partie téléphonie) sans aucune interaction de l’utilisateur, et qu’il suffit que l’attaquant connaisse le numéro de téléphone de la victime. «
Selon Project Zero, des attaquants aguerris sont en capacité de créer rapidement un exploit opérationnel pour une compromission à l’insu des utilisateurs.
Une idée des terminaux mobiles vulnérables
Une liste de chipsets Exynos vulnérables a été publiée par Samsung. Project Zero de Google propose également une liste non exhaustive d’appareils mobiles vulnérables :
- Smartphones Samsung Galaxy S22, A71, A53, A33, A21s, A13, A12, A04, M33, M13 et M12
- Smartphones Vivo S16, S15, S6, X70, X60 et X30
- Smartphones Google Pixel 6 et Pixel 7
- Véhicules avec chipset Exynos Auto T5123
Pour les smartphones Pixel, la vulnérabilité CVE-2023-24033 fait partie des corrections dans le cadre de la toute récente mise à jour de sécurité de mars. Samsung a déjà fourni des mises à jour de sécurité à d’autres fabricants, mais les correctifs ne sont pas encore publics. D’où la recommandation de Google pour la désactivation des appels Wi-Fi et 4G en attendant.
Sur Twitter, la chercheuse en sécurité Maddie Stone de Project Zero souligne que 90 jours après le rapport, les utilisateurs finaux ne disposent pas de correctifs.