Comme tout terminal, les smartphones sont des clients idéaux à des attaques cyber. Ceux embarquant des SoC Snapdragon feraient bien de se méfier d'une vulnérabilité révélée par les chercheurs en sécurité de Checkpoint. Répertoriée en tant que CVE-2020-11292, cette faille ne touche pas à proprement parler la puce mais un protocole de communication autant spécifique que très commun sur de type de composants. Il s'agit en l'occurrence du Qualcomm Mobile Station Modem Interface (QMI), permettant d'assurer la communication entre Android et la puce réseau incluse dans des SoC Snapdragon.
La CVE-2020-11292 est une vulnérabilité de type heap overflow (débordement de tas) relative au gestionnaire qmi_voicei_srvcc_call_config_req (0x64) du service vocal. Il s'agit d'un service parmi d'autres. A titre d'exemple, la puce modem du SoC SM8150 du Pixel 4 exporte environ 40 services QMI, dont Wireless data service (WDS), Device management service, Network access service, Wireless message service, Phone book manager service (PBM) Wireless data administrative service...
Injecter du code malveillant dans le modem depuis Android
« Elle peut être utilisé pour contrôler le modem et le patcher dynamiquement à partir du processeur », prévient Checkpoint. « Un attaquant peut employer une telle vulnérabilité pour injecter du code malveillant dans le modem depuis Android. Cela donne à l’attaquant l’accès à l’historique des appels et aux SMS de l’utilisateur, ainsi que la possibilité d’écouter ses conversations. Un pirate informatique peut exploiter la vulnérabilité pour déverrouiller la carte SIM, surmontant ainsi les limitations des fournisseurs de services imposées à l'appareil mobile ».
De très nombreux terminaux sont potentiellement exposés, dont des Google Pixel et des modèles de Galaxy, OnePlus et Xiaomi. D'après Checkpoint, 30% des smartphones dans le monde sont exposés à cette faille. L'éditeur de sécurité a informé Qualcomm de cette vulnérabilité le 8 octobre 2020 et confirmé une semaine plus tard son niveau élevé de gravité avant d'attribuer le 24 février dernier un ID CVE révélé au public ce 6 mai. D'après Threatpost, Qualcomm a alerté les fournisseurs Android de cette vulnérabilité. « Nous ne savons pas qui a patché ou non. D'après notre expérience, la mise en œuvre de ces correctifs prend du temps, de sorte que de nombreux téléphones sont probablement encore sujets à la menace », a indiqué un porte-parole du fournisseur de composants américain.