Les chercheurs en sécurité de l’équipe Project Zero de Google ont découvert plusieurs vulnérabilités graves de type”jour zéro”sur les modems Exynos de Samsung. Les vulnérabilités affectent des dizaines de smartphones et de wearables de Samsung, Google et Vivo. La série Galaxy S22, le Galaxy A53, le Galaxy A33, la série Pixel 6, la série Pixel 7, la série Vivo X70 et la série Vivo S16 font partie des appareils concernés.
Dans un récent article de blog, Project Zero a révélé avoir découvert 18 zéro-vulnérabilités de jour dans les modems Exynos produits par Samsung Semiconductor. Quatre d’entre eux sont des failles critiques qui pourraient conduire à l’exécution de code à distance d’Internet à la bande de base si elles sont exploitées à l’état sauvage. Un attaquant distant aurait seulement besoin de connaître le numéro de téléphone de la victime pour compromettre un téléphone au niveau de la bande de base sans interaction de l’utilisateur. Ces vulnérabilités ne sont pas trop difficiles à exploiter, ont conclu les chercheurs.
Les 14 vulnérabilités restantes ne sont cependant pas aussi graves. Ils nécessitent”soit un opérateur de réseau mobile malveillant, soit un attaquant disposant d’un accès local à l’appareil”. Project Zero a signalé ces vulnérabilités à Samsung entre fin 2022 et début 2023. Cela fait plus de 90 jours que les chercheurs ont soumis certains des rapports, mais la société coréenne n’a encore corrigé aucune des failles.
Liste complète des appareils concernés par ces vulnérabilités Exynos
Ces vulnérabilités zero-day affectent plus d’une douzaine de smartphones Samsung, dont les Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, et la série Galaxy A04.
Google, qui a commencé à utiliser des puces Tensor fabriquées par Samsung dans les smartphones Pixel en 2021, a également trouvé tous les modèles Pixel récents vulnérables, c’est-à-dire les séries Pixel 6 et Pixel 7. Les appareils Vivo concernés incluent les séries Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 et Vivo X30.
De plus, tout produit portable doté du chipset Exynos W920 est également vulnérable à ces failles de sécurité. Les séries Galaxy Watch 4 et Galaxy Watch 5 de Samsung en font partie. Enfin, ces vulnérabilités du modem Exynos affectent également les véhicules utilisant le chipset Exynos Auto T5123. Selon la version officielle de Project Zero, la mise à jour de mars de Google pour les appareils Pixel corrige les problèmes.
La mise à jour est déjà disponible pour la série Pixel 7 mais la série Pixel 6 l’attend toujours. Les vulnérabilités semblent rester non corrigées sur les autres appareils concernés.
Comme mesure de protection temporaire, le responsable de Project Zero, Tim Willis, conseille aux utilisateurs de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE). Cela”supprimera le risque d’exploitation de ces vulnérabilités”sur les appareils concernés. Malheureusement, ces fonctionnalités sont essentielles pour de nombreuses personnes. Nous espérons que Samsung corrigera ces défauts sur ses modems Exynos le plus tôt possible.