Hier, le Project Zero de Google détaillait les multiples (comme dans un total de dix-huit) Internet vers les vulnérabilités d’exécution de code à distance en bande de base dans les modems Exynos fabriqués par Samsung. Ces modems peuvent être trouvés dans des appareils tels que la série Pixel 6, la série Pixel 7, la série Galaxy S22 et bien d’autres.
En termes simples, pour ceux d’entre nous qui ne sont pas des experts en sécurité, la plus critique des vulnérabilités permettrait à un attaquant qualifié de créer un exploit et de compromettre un téléphone affecté simplement en connaissant le numéro de téléphone de la victime. Quatre des vulnérabilités découvertes sont si graves que Project Zero a même fait une exception à la politique en ce qui concerne son processus de divulgation. C’est si mauvais apparemment.
Appareils susceptibles d’être affectés
- Appareils mobiles de Samsung, y compris ceux des séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 ;
- Appareils mobiles de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30 ;
- Les séries d’appareils Pixel 6 et Pixel 7 de Google ; et
- tous les véhicules qui utilisent le chipset Exynos Auto T5123.
Nous avons donc établi qu’il y avait un problème. La nouvelle prometteuse est que les personnes qui ont besoin de connaître et de commencer à corriger ces problèmes sont conscientes et que des correctifs sont déjà en route. Par exemple, le correctif de sécurité de mars pour les téléphones Pixel contient un correctif pour l’une des vulnérabilités. En attendant, Project Zero de Google vous recommande d’éviter d’utiliser les appels WiFi ou VoLTE (Voice-Over-LTE) en accédant physiquement aux paramètres de votre appareil et en les désactivant.
Jusqu’à ce que des mises à jour de sécurité soient disponibles, les utilisateurs qui souhaitent se protéger des vulnérabilités d’exécution de code à distance en bande de base dans les chipsets Exynos de Samsung peuvent désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil. La désactivation de ces paramètres supprimera le risque d’exploitation de ces vulnérabilités.
La théorie a été lancée selon laquelle ces vulnérabilités sont ce qui empêche la gamme Pixel 6 de recevoir le dernier correctif de sécurité et la suppression des fonctionnalités. Cela semble très plausible à ce stade.
Nous vous tiendrons au courant au fur et à mesure que nous en saurons plus. Si cette nouvelle vous concerne, je vous recommande également de consulter le post de Project Zero sur la situation en suivant le lien ci-dessous.
// Projet Zéro
