Tim Willis, responsable du groupe "Project Zero" de Google, a annoncé que les chercheurs en sécurité internes ont trouvé et signalé 18 vulnérabilités de type "zero-day" dans les puces Exynos fabriquées par le sud-coréen Samsung au cours des derniers mois, y compris quatre vulnérabilités graves qui pourraient compromettre les appareils concernés "silencieusement et à distance" sur le réseau cellulaire. « Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans aucune interaction de la part de l'utilisateur », a déclaré Willis.
En obtenant la capacité d'exécuter à distance du code au niveau de la bande de base d'un appareil - essentiellement les modems Exynos qui convertissent les signaux cellulaires en données numériques - un pirate serait en mesure d'obtenir un accès quasi illimité aux données entrant et sortant d'un appareil compromis, y compris les appels cellulaires, les messages texte et les données cellulaires, sans alerter la victime. Maddie Stone, chercheuse du groupe Project Zero, a écrit dans un message sur Twitter que Samsung avait 90 jours pour corriger les bogues, mais que la société ne l'avait pas encore fait. Lundi, Samsung a confirmé dans une liste de sécurité.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">End-users still don't have patches 90 days after report.... <a href="https://t.co/dkA9kuzTso">https://t.co/dkA9kuzTso</a></p>— Maddie Stone (@maddiestone) <a href="https://twitter.com/maddiestone/status/1636469657136959488?ref_src=twsrc%5Etfw">March 16, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Samsung a déclaré que le problème affecte plusieurs fabricants d'appareils Android, mais n'a fourni que très peu de détails. Selon le rapport du groupe Project Zero, les puces concernées comprennent Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 et Exynos Auto T5123. Près d'une douzaine d'appareils Samsung sont concernées, y compris des appareils Vivo et les propres combinés Pixel 6 et Pixel 7 de Google. Les appareils concernés comprennent également des wearables et des véhicules qui s'appuient sur les puces Exynos pour se connecter au réseau cellulaire. La liste des appareils affectés comprend (sans s'y limiter) :
- les appareils mobiles Samsung, y compris les séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 ;
- les appareils mobiles Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30 ;
- les Galaxy Watch 4 et 5 ;
- les séries Pixel 6 et Pixel 7 de Google ;
- les véhicules connectés qui utilisent le chipset Exynos Auto T5123.
Google a déclaré que les correctifs varieront en fonction du fabricant, mais a noté que ses appareils Pixel sont déjà corrigés avec ses mises à jour de sécurité de mars. En attendant que les fabricants concernés envoient des mises à jour logicielles à leurs clients, Google a déclaré que les utilisateurs qui souhaitent se protéger peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil, ce qui supprimera le risque d'exploitation de ces vulnérabilités. Il n'est pas certain que toutes les actions préconisées soient possibles, et même si c'est le cas, elles priveront les appareils de la plupart de leurs capacités d'appel vocal.
En outre, il n'est pas certain qu'il soit possible de désactiver la VoLTE, du moins sur de nombreux modèles. Une capture d'écran publiée l'année dernière sur Reddit par un utilisateur de S22 montre que l'option permettant de désactiver la fonction VoLTE est grisée. Bien que le S22 de cet utilisateur soit équipé d'une puce Snapdragon, l'expérience est probablement la même pour les utilisateurs de téléphones basés sur Exynos. L'utilisation de la voix sur LTE s'est généralisée il y a quelques années, et depuis lors, la plupart des opérateurs en Amérique du Nord ont cessé de prendre en charge les anciennes fréquences 3G et 2G.
L'un des bogues est répertorié sous le nom de CVE-2023-24033 et trois autres qui n'ont pas encore reçu de référence CVE. Samsung a publié un correctif corrigeant la vulnérabilité CVE-2023-24033, mais la mise à jour n'a pas encore été livrée aux utilisateurs finaux. Rien n'indique que Samsung ait publié des correctifs pour les trois autres vulnérabilités critiques. Tant que les appareils vulnérables ne sont pas corrigés, ils restent vulnérables aux attaques qui permettent d'accéder au niveau le plus profond possible. En outre, un représentant de Google a refusé de fournir les étapes spécifiques pour mettre en œuvre les conseils de l'article du Project Zero.
Cela signifie que les utilisateurs de Pixel 6 n'ont aucune mesure d'atténuation réalisable pendant qu'ils attendent une mise à jour pour leurs appareils. En raison de la gravité des bogues et de la facilité avec laquelle ils peuvent être exploités par des pirates compétents, le message du groupe ne contient pas de détails techniques. Dans sa page de mise à jour de sécurité, Samsung décrit la vulnérabilité CVE-2023-24033 comme une "corruption de la mémoire lors du traitement de l'attribut SDP accept-type". « Le logiciel de bande de base ne vérifie pas correctement les types de formats de l'attribut accept-type spécifié par le SDP », indique l'avis.
« Cela peut entraîner un déni de service ou une exécution de code dans le modem de bande de base Samsung. Les utilisateurs peuvent désactiver les appels Wi-Fi et VoLTE pour atténuer l'impact de cette vulnérabilité », ajoute l'avis. Le protocole de description de session (SDP) est un mécanisme permettant d'établir une session multimédia entre deux entités. Il sert principalement à prendre en charge les appels VoIP en continu et les vidéoconférences. Le SDP utilise un modèle offre/réponse dans lequel une partie annonce une description de session et l'autre partie répond avec les paramètres souhaités.
En attendant que Samsung ou Google en dise plus, les utilisateurs d'appareils qui restent vulnérables doivent installer toutes les mises à jour de sécurité disponibles, en surveillant de près celle qui corrige le problème CVE-2023-24033, désactiver les appels Wi-Fi et explorer le menu des paramètres de leur modèle spécifique pour voir s'il est possible de désactiver la fonction VoLTE. Par ailleurs, les chercheurs de Google ont déclaré dans leur rapport que les 14 autres vulnérabilités étaient moins graves, car elles nécessitaient soit l'accès à un appareil, soit un accès privilégié ou d'initié aux systèmes d'un opérateur de téléphonie mobile.
Il est rare que Google - ou toute autre société de recherche en sécurité - tire la sonnette d'alarme sur des vulnérabilités très graves avant qu'elles ne soient corrigées. Google a souligné le risque pour le public, déclarant que des attaquants compétents "seraient en mesure de créer rapidement un exploit opérationnel" avec des recherches et des efforts limités.
Sources : Google Project Zero, Android, Samsung
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Google fait état d'une baisse des vulnérabilités liées à la sécurité de la mémoire sur Android à mesure que l'utilisation de Rust augmente, elles seraient passées de 223 en 2019 à 85 en 2022
Le propriétaire d'un téléphone Android trouve accidentellement un moyen de contourner l'écran de verrouillage et reçoit 70 000 dollars de Google pour avoir signalé le problème
Linux est victime de la vulnérabilité la plus grave depuis des années, Dirty Pipe permet à un attaquant d'installer des portes dérobées, de modifier des scripts, etc.