Passer au contenu

Google a hacké le Samsung Galaxy S6 Edge… et a trouvé 11 failles critiques

En l’espace d’une semaine, les chercheurs en sécurité du géant de l’internet ont réussi à pirater ce terminal haut de gamme à tort et à travers. La plupart des failles ont depuis été corrigées.

La startup Zerodium a mis un mois et demi avant de dégoter des failles zero-day sur l’iPhone au travers d’un concours à un million de dollars. Sur le Samsung Galaxy S6 Edge, les choses sont visiblement beaucoup plus simples. En juillet dernier, les hackers de Google Project Zero n’auront mis qu’une semaine pour mettre la main sur 11 failles critiques, permettant de pirater le terminal à distance ou au travers d’une fausse appli et d’accéder à des données personnelles telles que les photos, les contacts, les messages ou la géolocalisation.

Pour réussir ce tour de force, Google a mis en place deux équipes de cinq personnes et les a fait jouer l’une contre l’autre, histoire de stimuler l’esprit de compétition. Conformément au protocole de Google Project Zero, les failles ont été immédiatement notifiées à Samsung qui avait 90 jours pour les corriger. Il faut, en effet, préciser que toutes ces failles concernent la surcouche logicielle de Samsung, et non le système Android lui-même. Un patch pour huit des vulnérabilités a été publié en octobre dernier. Les trois failles restantes devraient être comblées d’ici à la fin novembre. Les détails techniques des failles sont disponibles sur le site de Google Project Zero.

À lire : Projet Zero : Google ouvre la chasse aux failles zero day avec une unité d’élite

D’après Google, les domaines les plus vulnérables semblent être les drivers et la gestion des médias. « Très rapidement, nous avons trouvé des problèmes dans ces zones par analyse de code et fuzzing*. Nous avons également été surpris de trouver trois bugs logiques dont l’exploitation était triviale », souligne l’un des chercheurs en sécurité dans une note de blog. La qualité du développement logiciel n’est visiblement pas la priorité chez Samsung. Mais c’est certainement aussi le cas pour d’autres fabricants.

* Le fuzzing est une technique permettant de tester les vulnérabilités d’un programme en lui injectant des données aléatoires.

Source :

Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn