La vulnérabilité activement exploitée touche des dizaines de modèles récents, parmi lesquels des smartphones Samsung, Oppo, OnePlus, Xiaomi et Motorola.
Branle-bas de combat chez Qualcomm. En début de semaine, le constructeur a confirmé la présence d’une faille zero-day dans pas moins de 64 puces, intégrées notamment dans des smartphones Android, des modems Snapdragon et des modules FastConnect. La vulnérabilité serait activement exploitée par des pirates, mais l’entreprise a tenu à rassurer les propriétaires d’équipements concernés en précisant que les attaques étaient a priori limitées et ciblées. Un correctif a déjà été transmis aux fabricants des appareils affectés, à qui il incombe de déployer le patch auprès des utilisateurs et utilisatrices menacés.
Une faille activement exploitée, mais des attaques ciblées
D’après Qualcomm, la faille aurait été découverte par les chercheurs du groupe d’analyse des menaces de Google (TAG) et confirmée par le laboratoire de sécurité d’Amnesty International. Estampillée CVE-2024-43047, elle atteint un score CVSS de 7.8 (niveau de sévérité élevé) et a déjà été documentée par le CISA et le NIST. Dans le détail, il s’agit d’une vulnérabilité de type « use-after-free », qui permet à des hackers de détourner la mémoire libérée des appareils impactés pour y injecter du code malveillant.
Pour le moment, Qualcomm n’a pas communiqué davantage d’information concernant les modalités d’exploitation de cette faille, mais a toutefois indiqué qu’elle faisait l’objet d’attaques « limitées et ciblées », laissant penser que seule une poignée de personnes spécifiques risquaient d’en faire les frais.
Malgré tout, la vulnérabilité impressionne par l’envergure de sa surface d’attaque potentielle. Au total, 64 puces sont concernées, parmi lesquelles le SoC Snapdragon 8 Gen 1. Des millions de smartphones Android sont donc menacés par CVE-2024-43047, dont les Samsung Galaxy S22 Ultra, OnePlus 10 Pro, Oppo Find X5 Pro, Honor Magic 4, Xiaomi 12, pour ne citer que ceux-là. Sont également impactés certains modems Snapdragon et modules FastConnect, dédiés aux connexions Wi-Fi et Bluetooth.
Un correctif déjà mis à disposition des constructeurs
Alertée en amont de sa divulgation publique, mais après son exploitation effective, Qualcomm a d’ores et déjà développé et mis à disposition des fabricants un patch de sécurité pour les chipsets affectés. Il appartient donc aux constructeurs de smartphones et d’autres dispositifs concernés de déployer le correctif auprès des utilisateurs et utilisatrices menacés, qui n’ont d’autres choix que d’attendre sa distribution, si ce n’est pas déjà fait.
D’après les informations complémentaires collectées par TechCrunch, Catherine Baker, porte-parole de Qualcomm, a précisé que le patch avait été envoyé aux OEM dès la fin du mois de septembre. Avec un peu de chance, si vous faites partie des propriétaires de smartphones vulnérables, votre appareil peut déjà bénéficier de l’update corrective. Pensez à vérifier et à installer dès maintenant les dernières mises de sécurité dans les paramètres système de votre mobile.
Sources : Qualcomm, TechCrunch
30 septembre 2024 à 14h34
