Google tire la sonnette d'alarme au sujet d'une vulnrabilit qu'il a dcouverte dans certaines puces Samsung quipant des dizaines d'appareils Android, craignant que la faille ne soit dcouverte et exploite par des acteurs malveillants. La vulnrabilit n'affecte que les puces Exynos de Samsung et les appareils risque comprennent la version internationale du Samsung Galaxy S22, les Pixel 6 et 7, les Galaxy Watch 4 et 5. Il suffira qu'un pirate obtienne votre numro de tlphone pour prendre le contrle complet de votre appareil distance. Google invite les utilisateurs d'Android dsactiver les appels par Wi-Fi pour se protger contre les attaques exploitant la faille.Tim Willis, responsable du groupe "Project Zero" de Google, a annonc que les chercheurs en scurit internes ont trouv et signal 18 vulnrabilits de type "zero-day" dans les puces Exynos fabriques par le sud-coren Samsung au cours des derniers mois, y compris quatre vulnrabilits graves qui pourraient compromettre les appareils concerns "silencieusement et distance" sur le rseau cellulaire. Les tests mens par Project Zero confirment que ces quatre vulnrabilits permettent un attaquant de compromettre distance un tlphone au niveau de la bande de base sans aucune interaction de la part de l'utilisateur , a dclar Willis.
En obtenant la capacit d'excuter distance du code au niveau de la bande de base d'un appareil - essentiellement les modems Exynos qui convertissent les signaux cellulaires en donnes numriques - un pirate serait en mesure d'obtenir un accs quasi illimit aux donnes entrant et sortant d'un appareil compromis, y compris les appels cellulaires, les messages texte et les donnes cellulaires, sans alerter la victime. Maddie Stone, chercheuse du groupe Project Zero, a crit dans un message sur Twitter que Samsung avait 90 jours pour corriger les bogues, mais que la socit ne l'avait pas encore fait. Lundi, Samsung a confirm dans une liste de scurit.
Samsung a dclar que le problme affecte plusieurs fabricants d'appareils Android, mais n'a fourni que trs peu de dtails. Selon le rapport du groupe Project Zero, les puces concernes comprennent Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 et Exynos Auto T5123. Prs d'une douzaine d'appareils Samsung sont concernes, y compris des appareils Vivo et les propres combins Pixel 6 et Pixel 7 de Google. Les appareils concerns comprennent galement des wearables et des vhicules qui s'appuient sur les puces Exynos pour se connecter au rseau cellulaire. La liste des appareils affects comprend (sans s'y limiter) :
- les appareils mobiles Samsung, y compris les sries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 ;
- les appareils mobiles Vivo, y compris ceux des sries S16, S15, S6, X70, X60 et X30 ;
- les Galaxy Watch 4 et 5 ;
- les sries Pixel 6 et Pixel 7 de Google ;
- les vhicules connects qui utilisent le chipset Exynos Auto T5123.
Google a dclar que les correctifs varieront en fonction du fabricant, mais a not que ses appareils Pixel sont dj corrigs avec ses mises jour de scurit de mars. En attendant que les fabricants concerns envoient des mises jour logicielles leurs clients, Google a dclar que les utilisateurs qui souhaitent se protger peuvent dsactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramtres de leur appareil, ce qui supprimera le risque d'exploitation de ces vulnrabilits. Il n'est pas certain que toutes les actions prconises soient possibles, et mme si c'est le cas, elles priveront les appareils de la plupart de leurs capacits d'appel vocal.
En outre, il n'est pas certain qu'il soit possible de dsactiver la VoLTE, du moins sur de nombreux modles. Une capture d'cran publie l'anne dernire sur Reddit par un utilisateur de S22 montre que l'option permettant de dsactiver la fonction VoLTE est grise. Bien que le S22 de cet utilisateur soit quip d'une puce Snapdragon, l'exprience est probablement la mme pour les utilisateurs de tlphones bass sur Exynos. L'utilisation de la voix sur LTE s'est gnralise il y a quelques annes, et depuis lors, la plupart des oprateurs en Amrique du Nord ont cess de prendre en charge les anciennes frquences 3G et 2G.
L'un des bogues est rpertori sous le nom de CVE-2023-24033 et trois autres qui n'ont pas encore reu de rfrence CVE. Samsung a publi un correctif corrigeant la vulnrabilit CVE-2023-24033, mais la mise jour n'a pas encore t livre aux utilisateurs finaux. Rien n'indique que Samsung ait publi des correctifs pour les trois autres vulnrabilits critiques. Tant que les appareils vulnrables ne sont pas corrigs, ils restent vulnrables aux attaques qui permettent d'accder au niveau le plus profond possible. En outre, un reprsentant de Google a refus de fournir les tapes spcifiques pour mettre en uvre les conseils de l'article du Project Zero.
Cela signifie que les utilisateurs de Pixel 6 n'ont aucune mesure d'attnuation ralisable pendant qu'ils attendent une mise jour pour leurs appareils. En raison de la gravit des bogues et de la facilit avec laquelle ils peuvent tre exploits par des pirates comptents, le message du groupe ne contient pas de dtails techniques. Dans sa page de mise jour de scurit, Samsung dcrit la vulnrabilit CVE-2023-24033 comme une "corruption de la mmoire lors du traitement de l'attribut SDP accept-type". Le logiciel de bande de base ne vrifie pas correctement les types de formats de l'attribut accept-type spcifi par le SDP , indique l'avis.
Cela peut entraner un dni de service ou une excution de code dans le modem de bande de base Samsung. Les utilisateurs peuvent dsactiver les appels Wi-Fi et VoLTE pour attnuer l'impact de cette vulnrabilit , ajoute l'avis. Le protocole de description de session (SDP) est un mcanisme permettant d'tablir une session multimdia entre deux entits. Il sert principalement prendre en charge les appels VoIP en continu et les vidoconfrences. Le SDP utilise un modle offre/rponse dans lequel une partie annonce une description de session et l'autre partie rpond avec les paramtres souhaits.
En attendant que Samsung ou Google en dise plus, les utilisateurs d'appareils qui restent vulnrables doivent installer toutes les mises jour de scurit disponibles, en surveillant de prs celle qui corrige le problme CVE-2023-24033, dsactiver les appels Wi-Fi et explorer le menu des paramtres de leur modle spcifique pour voir s'il est possible de dsactiver la fonction VoLTE. Par ailleurs, les chercheurs de Google ont dclar dans leur rapport que les 14 autres vulnrabilits taient moins graves, car elles ncessitaient soit l'accs un appareil, soit un accs privilgi ou d'initi aux systmes d'un oprateur de tlphonie mobile.
Il est rare que Google - ou toute autre socit de recherche en scurit - tire la sonnette d'alarme sur des vulnrabilits trs graves avant qu'elles ne soient corriges. Google a soulign le risque pour le public, dclarant que des attaquants comptents "seraient en mesure de crer rapidement un exploit oprationnel" avec des recherches et des efforts limits.
Sources : Google Project Zero, Android, Samsung
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
