L’équipe de sécurité de Google a découvert de graves vulnérabilités dans les puces Samsung utilisées dans de nombreux appareils Android, wearables et véhicules. Ces failles pourraient être exploitées si elles ne sont pas corrigées, ce qui a incité Google à conseiller de désactiver les appels VoLTE et Wi-Fi.
Dans un récent article de blog, Tim Willis, le responsable du Project Zero de Google, a indiqué que l’équipe avait découvert 18 vulnérabilités 0-day dans les modems Exynos de Samsung, dont quatre failles de première gravité qui pourraient potentiellement compromettre les appareils à distance. Parmi les appareils concernés figurent les Pixel 6 et 7, les smartphones Samsung et les wearables.
Project Zero, réputé pour la découverte de 0-day, a récemment divulgué 18 vulnérabilités dans les modems Exynos fin 2022 et début 2023. Parmi ces vulnérabilités, quatre (dont CVE-2023-24033) permettent à un attaquant d’exécuter du code à distance à partir d’Internet au niveau de la bande de base d’un smartphone sans interaction de l’utilisateur, en exigeant uniquement le numéro de téléphone de la victime.
Le Project Zero confirme que des attaquants compétents pourraient développer un exploit opérationnel pour compromettre les appareils concernés à distance et de manière silencieuse, avec peu de recherche et de développement supplémentaires. Les 14 autres vulnérabilités sont considérées comme moins graves, nécessitant un opérateur de réseau mobile malveillant ou un attaquant ayant un accès local à l’appareil.
Le Project Zero a fait une exception pour retarder la divulgation des quatre vulnérabilités liées à l’Internet vers la bande de base en raison de l’accès sans précédent et de la probabilité qu’un exploit opérationnel soit rapidement mis au point.
Liste des appareils concernés
Samsung Semiconductor a publié des avis identifiant les chipsets Exynos vulnérables aux failles de sécurité. D’après les informations publiques, les appareils suivants sont susceptibles d’être affectés :
- Appareils mobiles de Samsung, y compris les séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04
- Appareils mobiles de Vivo, y compris les séries S16, S15, S6, X70, X60 et X30
- Séries Pixel 6 et Pixel 7 de Google
- Wearables utilisant la puce Exynos W920
- Véhicules utilisant la puce Exynos Auto T5123
- Les Samsung Galaxy Watch 4 et 5, ainsi que les Pixel 6 (Exynos 5123) et 7 (Exynos 5300), sont également concernés
- Google a déjà corrigé la principale vulnérabilité CVE-2023-24033 dans le correctif de sécurité de mars 2023
Project Zero conseille de désactiver les appels VoLTE et Wi-Fi
Les délais d’application des correctifs varient d’un fabricant à l’autre. En attendant les correctifs, Project Zero conseille par précaution de désactiver les appels Wi-Fi et VoLTE pour éliminer les risques d’exploitation.
Il est recommandé de mettre à jour régulièrement les appareils pour corriger les vulnérabilités de sécurité divulguées et non divulguées. Pour les utilisateurs des Pixel 6, 6 Pro et 6a, la mise à jour de sécurité de mars 2023 n’a pas été publiée, ce qui les rend vulnérables.