Les chercheurs en sécurité de Google Project Zero ont encore frappé. Ces experts en sécurité, dont la mission est de faire la chasse aux vulnérabilités zero-day, viennent d’annoncer avoir trouvé, au cours des derniers mois, pas moins de 18 failles de ce type dans les modems Exynos fabriqués par Samsung.
Quatre failles zero-day hautement critiques
Sur ces 18 vulnérabilités, quatre d’entre elles sont considérées comme de haute importance puisqu’elles auraient déjà été exploitées par des âmes mal intentionnées pour exécuter du code à distance dans le baseband de plusieurs appareils.
« Les tests effectués par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau du baseband sans interaction de l’utilisateur, et exigent uniquement que l’attaquant connaisse le numéro de téléphone de la victime. » expliquent les chercheurs en sécurité de Google. « Avec une recherche et un développement supplémentaires limités, nous pensons que les attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils affectés silencieusement et à distance. » ont indiqué les chercheurs.
Les quatorze autres failles zero-day qui ont été trouvées sont quant à elles moins graves. En effet, pour être exploitées, elles requièrent soit un opérateur de réseau mobile malveillant, soit qu’un attaquant disposant d’un accès local à l’appareil concerné.
Des dizaines d’appareils touchés par ces vulnérabilités zero day
Sur son site Web, Samsung a fourni la liste des chipsets Exynos touchés par ces failles zero-day. Et le moins que l’on puisse dire, c’est que la liste des appareils touchés par ces brèches est assez importante. Les produits concernés seraient les suivants :
- Les smartphones Samsung Galaxy S22, M33, M13, 12, A71, A53, A33, A21, A13, A12 et A04
- Les smartphones Vivo S16, S15, S6, X70, X60 et X30
- Les Google Pixel 6 et Pixel 7
- Tous les appareils embarquant un chipset Exynos W920 (qui équipe notamment la Galaxy Samsung Watch 4)
- Tous les véhicules utilisant un chipset Exynos Auto T5123 (utilisé pour fournir une connexion 5G aux véhicules)
Si des mises à jour correctives ont déjà été appliquées sur certains appareils, comme les Pixel 6 et Pixel 7, les chercheurs du Project Zero pensent que les délais pour obtenir des patches correctifs sur certains appareils varieront en fonction des fabricants. Par conséquent, ils recommandent vivement de procéder à l’installation des mises à jour des appareils dès lors que celles-ci sont proposées par les fabricants. En attendant que tous les constructeurs concernés se penchent sur la question, les chercheurs en sécurité donnent quelques conseils. Pour limiter les risques d’attaque, ils suggèrent de désactiver les appels Wi-Fi ainsi que la voix sur LTE (VoLTE) dans les paramètres de leur appareil.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Google Project Zero
Très intéressant, mais les fautes d’orthographe s’il vous plaît… :/