Fin 2022 et début 2023, l'équipe de chercheurs en sécurité Project Zero de Google a signalé 18 failles zero day dans des puces modems Exynos conçus par Samsung Semiconductor. Les quatre plus graves (CVE-2023-24033 et trois autres vulnérabilités auxquelles des ID CVE n'ont pas encore été attribués) permettaient d'exécuter à distance du code Internet-to-baseband. « Les tests menés par Project Zero confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l'utilisateur, et exigent seulement que l'attaquant connaisse le numéro de téléphone de la victime », explique Project Zero.
Selon l'équipe de chercheurs, des attaquants expérimentés pourraient créer rapidement un exploit opérationnel afin de compromettre les terminaux concernés discrètement et à distance. Les quatorze autres vulnérabilités associées (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 et neuf autres vulnérabilités qui n'ont pas encore reçu d'ID CVE) étaient moins graves, car ils nécessitent soit un opérateur de réseau mobile malveillant, soit de disposer d'un accès local au terminal. Conformément à sa politique de divulgation standard, Project Zero divulgue les vulnérabilités de sécurité au public un certain temps après les avoir signalées aux fournisseurs de logiciels ou de matériels.
Les Google Pixel déjà corrigés avec le patch correctif de mars 2023
Les chipsets Exynos concernés par ces vulnérabilités sont les suivants : les terminaux mobiles de Samsung, y compris ceux des séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04 ; terminaux mobiles de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30 ; Les séries d'appareils Pixel 6 et Pixel 7 de Google ; tous les appareils portables qui utilisent le chipset Exynos W920 ; autre tous les véhicules qui utilisent le chipset Exynos Auto T5123.
« Nous nous attendons à ce que les délais de mise à jour des correctifs varient selon le fabricant (par exemple, les terminaux Pixel concernés ont déjà reçu un correctif pour la CVE-2023-24033 dans la mise à jour de sécurité de mars 2023) », explique Project Zero. « En attendant, les utilisateurs disposant d'appareils concernés peuvent se protéger des vulnérabilités d'exécution de code à distance en bande de base mentionnées dans cet article en désactivant les appels WiFi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil. Comme toujours, nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que possible, afin de s'assurer qu'ils exécutent les dernières versions qui corrigent les vulnérabilités de sécurité divulguées et non divulguées ».
Commentaire