Votre smartphone est peut-être en danger, des failles critiques repérées sur les puces Samsung Exynos

Google attire l'attention sur une série de dangereuses failles de sécurité dans les puces Exynos de Samsung, dont certaines pourraient être exploitées à distance pour compromettre complètement un téléphone sans nécessiter d'interaction de la part de l'utilisateur.

Crédit : gilower / 123RF

Project Zero, l'équipe de Google chargée de la chasse aux failles “zero-day”, a découvert et signalé 18 vulnérabilités dans les puces Exynos de Samsung. Plus précisément, le fautif serait ici le modem des puces. Il est utilisé dans les appareils mobiles de la société, les “wearables” et les voitures. Parmi les appareils concernés figurent également les Pixel 6 et 7, qui utilisent une puce Tensor basée sur les processeurs Exynos, mais aussi certains smartphones de milieu de gamme de chez Vivo.

Tim Willis, responsable du projet zéro de Google, a déclaré dans un billet de blog que quatre de ces vulnérabilités, dont la CVE-2023-24033, impliquent l'exécution de code à distance de l'internet vers la bande de base, c’est-à-dire qu’elles permettent à un pirate d’avoir facilement accès à votre smartphone à distance, et cela sans que vous puissiez vous en rendre compte.

Lire également – Le Galaxy S22 est piraté en seulement 55 secondes par des hackers

Votre numéro de téléphone suffit pour pirater votre smartphone

Les tests menés par Project Zero ont donc confirmé que quelques vulnérabilités permettent à un attaquant de compromettre à distance un téléphone sans aucune interaction avec l'utilisateur, et qu'il lui suffit de connaître le numéro de téléphone de la victime pour prendre le contrôle de l’appareil.

Voici la liste des appareils vulnérables :

Comme toujours, nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que possible, afin de s'assurer qu'ils utilisent les dernières versions qui corrigent les vulnérabilités de sécurité divulguées et non divulguées“, a ajouté Willis. Pour votre sécurité, il est toujours très recommandé de mettre à jour votre appareil dès qu'une nouvelle version est disponible.

Les 14 failles restantes (y compris CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076, et neuf autres en attente de CVE-ID) ne sont pas aussi critiques, mais présentent tout de même un risque.

C’est loin d’être la première fois que les smartphones de Samsung sont victimes de failles zéro-day. Déjà en fin d’année dernière, Project Zero avait découvert plusieurs failles de sécurité inédites dans les Galaxy de milieu de gamme. Ces vulnérabilités avaient été activement exploitées, et seuls les puces Exynos étaient concernées. Au printemps dernier, des millions de smartphones Samsung avaient aussi été victimes d’une faille de sécurité majeure qui permettait aussi de prendre le contrôle total des appareils à distance par le biais d’une application malveillante.

Le patch de sécurité de mars 2023 corrige l'une des failles

Google a vraisemblablement déjà corrigé la faille CVE-2023-24033 dans le correctif de sécurité de mars 2023, mais tous les appareils concernés n’ont pas encore reçu la mise à jour. En attendant un correctif, Project Zero conseille par précaution de désactiver les appels Wi-Fi et VoLTE pour éliminer les risques de piratage.

Voir les commentaires
Ailleurs sur le web