Que souhaitez-vous savoir
- L'équipe Project Zero de Google révèle de nouvelles vulnérabilités pour les SoC Exynos.
- Ces téléphones alimentés par chipset incluent les séries Pixel 6, Pixel 7 et Galaxy S22, entre autres.
- L'équipe souligne qu'il s'agit d'une vulnérabilité d'exécution de code à distance en bande de base qui peut être réalisée en apprenant le numéro de téléphone de la victime.
Les smartphones sont souvent classés en fonction de leurs chipsets pour leurs performances, mais ces SoC sont parfois vulnérables, et de nouvelles preuves de l'équipe Project Zero de Google le suggèrent.
Au cours des derniers mois, l'équipe de Project Zero a découvert dix-huit vulnérabilités 0-day dans des appareils comprenant des modems Samsung Exynos (via 9to5Google). Sur ces dix-huit, quatre sont sévères (un a ID CVE-2023-24033, tandis que d'autres n'ont pas encore reçu d'identifiants CVE), ce qui peut permettre aux attaquants d'effectuer une exécution de code à distance Internet vers bande de base.
Dans un
article de blog d'accompagnement, l'équipe de Project Zero indique que ces quatre vulnérabilités « permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l'utilisateur, et exigent seulement que l'attaquant connaisse le numéro de téléphone de la victime."L'équipe de sécurité affirme que même si apprendre le numéro de téléphone de la victime peut être difficile pour les attaquants non identifiés, il est toujours possible de le faire secrètement et à distance.
Alors que la plupart téléphone Android les utilisateurs peuvent vérifier si leurs chipsets sont affectés à partir de la liste fourni par les avis de Samsung Semiconductor, l'équipe du projet donne la liste des appareils en fonction de leurs recherches :
- Appareils Samsung, y compris Galaxie S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 série. (Les propriétaires de Galaxy S22 aux États-Unis et dans certains autres pays qui utilisent des puces Qualcomm ne sont pas concernés).
- Certains modèles Vivo incluent le Vivo S16, S15, S6, X70, X60, et Série X30.
- Google Pixel 6 et Pixel 7 série viennent avec des puces Tensor développées par Samsung et sont basées sur Exynos.
- Le chipset Exynos, baptisé Auto T5123 SoC, utilisé dans l'automobile, est également apparemment affecté.
Depuis le nouveau Galaxie S23 utilise Qualcomm dans le monde, il n'est pas affecté comme le sont les autres appareils Galaxy.
La vulnérabilité CVE-2023-24033 ID, comme mentionné ci-dessus, aurait été corrigée sur les appareils Pixel avec le récent Mise à jour de mars 2023, qui, malheureusement, n'a pas encore été reçu le Pixel 6 et 6a des modèles.
"La désactivation de ces paramètres supprimera le risque d'exploitation de ces vulnérabilités."
L'équipe du Projet Zéro
Pendant ce temps, les autres appareils non-Pixel, qui n'ont pas encore reçu de correctif de leurs OEM, pourraient devoir contourner pour se protéger des attaquants. L'équipe de sécurité leur conseille de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) sur leurs smartphones alimentés par Samsung Exynos.
- Offres téléphoniques: Meilleur achat | Walmart | Samsung | Amazone | Verizon | AT&T