Catégories
Informatique

Des millions de téléphones Android vulnérables aux exploits de sécurité Qualcomm Snapdragon d'Achille

muflier achille

Et un nombre écrasant de smartphones Android dépendent des processeurs Qualcomm Snapdragon. Bien qu'il existe d'autres fournisseurs de SoC comme Huawei et Samsung, Qualcomm a capturé à lui seul environ 40% du marché global des smartphones en 2019.

Cette large pénétration s'accompagne d'un examen plus minutieux des exploits de sécurité susceptibles d'affecter les puces Snapdragon. À cette fin, les chercheurs de Check Point ont découvert plus de 400 morceaux de code vulnérables dans les puces du processeur de signal numérique (DSP) trouvées dans les SoC Snapdragon utilisés dans des centaines de millions d'appareils Android. Les 400 morceaux de code défectueux ont été divisés en six failles de sécurité distinctes, qui sont représentées ci-dessous par leurs listes CVE:

  • CVE-2020-11201
  • CVE-2020-11202
  • CVE-2020-11206
  • CVE-2020-11207
  • CVE-2020-11208
  • CVE-2020-11209

Selon Check Point, ces six exploits, collectivement appelés Achille, peut transformer votre smartphone en "un outil d'espionnage parfait". Certaines des actions possibles qui peuvent être prises, y compris le vol de photos, de vidéos, de données GPS / de localisation et même de données de microphone en temps réel. Des attaques par déni de service ciblées pourraient être effectuées et des logiciels malveillants / codes malveillants pourraient être discrètement cachés sur l'appareil, après quoi il ne serait pas possible de le supprimer.

Comme c'est le cas pour tous les exploits découverts par Check Points, il a contacté Qualcomm avant de devenir public. Cependant, il y a à la fois de bonnes et de mauvaises nouvelles en ce qui concerne la résolution de ces six exploits. La bonne nouvelle est que Qualcomm a corrigé les six failles.

muflier achille 2

La mauvaise nouvelle est qu'il appartient à chaque fournisseur de smartphone d'envoyer des correctifs spécifiques pour chaque smartphone qu'il a fabriqué à l'aide d'un SoC Snapdragon concerné. Étant donné que certains OEM Android sont laxistes dans la fourniture de mises à jour de sécurité simples, les amener à publier des mises à jour de micrologiciel critiques pour chacun de leurs appareils pourrait être un pont trop loin. Cela étant dit, Qualcomm a déjà publié la déclaration suivante concernant les conclusions de Check Point:

Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm. En ce qui concerne la vulnérabilité Qualcomm Compute DSP révélée par Check Point, nous avons travaillé avec diligence pour valider le problème et mettre les mesures d'atténuation appropriées à la disposition des OEM. Nous n'avons aucune preuve qu'il est actuellement exploité. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que des correctifs sont disponibles et à n'installer les applications qu'à partir d'emplacements de confiance tels que le Google Play Store.

Nous ne pouvons qu'espérer que les fabricants OEM de smartphones utilisant les SoC Snapdragon publieront ces correctifs le plus rapidement possible, faute de quoi l'inaction pourrait avoir des conséquences désastreuses. "Des centaines de millions de téléphones sont exposés à ce risque de sécurité", a déclaré Yaniv Balmas, responsable de la recherche cybernétique chez Check Point. "Vous pouvez être espionné. Vous pouvez perdre toutes vos données. Si de telles vulnérabilités sont découvertes et utilisées par des acteurs malveillants, des millions d'utilisateurs de téléphones portables n'auront pratiquement aucun moyen de se protéger pendant très longtemps."

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *