Selon un article de blog de Google Project Zero (via TechCrunch), un trio de vulnérabilités zero-day dans certains téléphones Samsung Galaxy plus récents était exploité par un fournisseur commercial de surveillance. Ces entreprises peuvent être des entreprises de télécommunications ou de technologie qui suivent leurs clients dans le but de monétiser des données personnelles en envoyant des publicités personnalisées. Ou cela pourrait être plus sinistre (plus à ce sujet ci-dessous).
Certains combinés Samsung Galaxy utilisant le chipset Exynos maison présentaient ces vulnérabilités
Selon le Fédéral Trade Commission, ces entreprises s’engagent dans la”collecte, l’agrégation, l’analyse, la conservation, le transfert ou la monétisation des données des consommateurs et des dérivés directs de ces informations”. Et en plus de nuire aux consommateurs avec ces actions, la FTC cherche à collecter des informations montrant que ces actions entraînent des dommages psychologiques, des atteintes à la réputation et des intrusions indésirables qui ont lieu lors de la collecte de ces données personnelles.
L’un des téléphones exploités était le Samsung Galaxy S10
Mais cette situation spécifique pourrait être plus grave. Bien que Google n’ait pas nommé de fournisseur de surveillance commerciale spécifique, il a déclaré que le modèle ressemblait à une exploitation précédente qui fournissait un”puissant logiciel espion d’État-nation”via une application Android malveillante. Les vulnérabilités trouvées dans le logiciel personnalisé de Samsung faisaient partie d’une chaîne d’exploitation qui permettrait à l’attaquant d’obtenir des privilèges de lecture et d’écriture du noyau qui pourraient éventuellement révéler des données personnelles sur le téléphone.
L’exploitation cible les combinés Samsung Galaxy alimentés par un Exynos SoC utilisant le noyau 4.14.113. Les téléphones correspondant à cette description incluent le Samsung Galaxy S10, le Galaxy A50 et le Galaxy A51. Les versions de ces téléphones vendues aux États-Unis et en Chine sont équipées d’un chipset Qualcomm Snapdragon tandis que dans la plupart des autres continents comme l’Europe et l’Afrique, le SoC Exynos est utilisé. Google affirme que l’exploit”s’appuie à la fois sur le pilote Mali GPU et sur le pilote DPU qui sont spécifiques aux téléphones Samsung Exynos.”Les problèmes commenceraient lorsqu’un utilisateur était amené à charger une application sur son téléphone. Dans ce cas, le chargement latéral signifie le téléchargement d’une application à partir d’un magasin d’applications Android tiers qui n’est pas le Google Play Store. Google a signalé à Samsung les vulnérabilités en 2020 et bien que Sammy ait envoyé un correctif en mars 2021, la société n’a pas mentionné que les vulnérabilités étaient activement exploitées.
Maddie Stone de Google, qui a écrit le billet de blog, déclare :”L’analyse de cette chaîne d’exploitation nous a fourni de nouvelles informations importantes sur la façon dont les attaquants ciblent les appareils Android. Stone a également souligné qu’avec plus de recherches, de nouvelles vulnérabilités pourraient être découvertes dans les logiciels personnalisés utilisés sur les appareils Android par les fabricants de téléphones comme Samsung. Stone a ajouté:”Cela met en évidence le besoin de plus de recherches sur les composants spécifiques aux fabricants. Cela montre où nous devons effectuer une analyse plus approfondie des variantes.”
Utilisez la section des commentaires sur le Play Store ou une boutique d’applications Android tierce pour rechercher les signaux d’alarme
Pour aller de l’avant, Samsung a accepté de révéler quand ses vulnérabilités sont activement exploitées, rejoignant Apple et Google. Ces deux derniers fabricants alertent déjà les utilisateurs lorsqu’un tel événement se produit. En juin, nous vous avions parlé d’un logiciel espion appelé Hermit qui a été utilisé par les gouvernements sur les victimes ciblées en Italie et au Kazakhstan. Semblable au problème de sécurité trouvé sur les trois téléphones Galaxy alimentés par Exynos, Hermit a exigé qu’un utilisateur charge une application malveillante. Finalement, ce malware volerait les contacts, les données de localisation, photos, vidéos et enregistrements audio du combiné de la victime.Une règle rapide et sale qui pourrait encore fonctionner ces jours-ci consiste à examiner attentivement la section des commentaires avant d’installer une application d’un développeur dont vous n’avez jamais entendu parler auparavant. les drapeaux apparaissent, s’enfuient rapidement la liste de cette application et ne jamais regarder en arrière. Un autre bon conseil est de ne charger aucune application. Oui, les applications contenant des logiciels malveillants traversent trop souvent la sécurité de Google Play, mais vous êtes probablement encore moins susceptible d’être”infecté”en vous en tenant au chargement des applications depuis le Play Store.
