Une série de 18 failles de sécurité a été identifiée sur des smartphones et montres connectées Samsung, Google Pixel et vivo embarquant un modem Exynos.
Les chercheurs en sécurité de l'équipe Project Zero, financée par Google, ont découvert 18 vulnérabilités 0-day au sein des modems Exynos de Samsung. Ceux-ci équipent de nombreux smartphones sur le marché, dont certains modèles très populaires.
Des smartphones et montres connectées Galaxy, Pixel et vivo vulnérables
Parmi les grands noms touchés par cette série de failles de sécurité, nous retrouvons le Galaxy S22, haut de gamme de Samsung sorti début 2022, ainsi que les smartphones des séries Pixel 6 et Pixel 7, les dernières générations de mobile de Google, dont la puce Tensor repose sur l'architecture des SoC Exynos.
Les terminaux milieu de gamme Samsung Galaxy M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04 sont également concernés par le problème, tout comme certains téléphones de la marque vivo des séries S16, S15, S6, X70, X60 et X30.
Project Zero avertit toutefois que les smartphones ne sont pas les seuls appareils vulnérables et que d'autres types de produits embarquant des composants Exynos sont aussi victimes de ces failles de sécurité. Sont cités les montres connectées propulsées par l'Exynos W920 et les véhicules disposant d'un Exynos Auto T5123.
4 failles permettent de l'exécution de code à distance sans interaction de l'utilisateur
Les experts en cybersécurité expliquent que sur les 18 vulnérabilités découvertes, quatre d'entre elles peuvent permettre à des pirates d'exécuter du code malveillant à distance. Cela leur donne la possibilité de « compromettre à distance un téléphone […] sans interaction de l'utilisateur ». Ils précisent que ces failles de sécurité exigent seulement que l'attaquant connaisse le numéro de téléphone de la victime. À partir de là, il sera en mesure de voler des données sensibles et de prendre le contrôle de l'appareil.
« Nous pensons que des attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils concernés en silence et à distance », craint Project Zero.
Google a déjà déployé le correctif CVE-2023-24033 dans son patch de sécurité de mars, que nous vous conseillons d'installer immédiatement sur votre Pixel si ce n'est pas déjà fait. Pour les autres, Project Zero conseille de désactiver les appels Wi-Fi et VoLTE le temps qu'un correctif soit proposé par les fabricants.
Source : Project Zero
