Samsung : Google a trouvé de multiples failles dans les puces Exynos du coréen
L’équipe Project Zero de Google a trouvé plusieurs failles de sécurité liées aux puces Exynos de Samsung. Cela concerne aussi bien les téléphones du constructeur coréen mais aussi certains autres.
Entre fin 2022 et début 2023, les équipes de Project Zero de Google ont reporté 18 vulnérabilités 0 day dans les modems Exynos produits par Samsung Semiconductor. Les quatre plus sévères permettent l’exécution de code à distance.
Dix huit failles au total
Ces quatre failles sont les plus importantes. Elles permettent à un attaquant de compromettre un téléphone à distance, sans interaction de la part de l’utilisateur et l’attaquant a seulement à connaître le numéro de téléphone de la victime pour ce faire.
L’équipe pense d’ailleurs que des attaquants qualifiés pourraient créer un exploit pour compromettre les appareils concernés à distance et le tout de manière totalement silencieuse.
Les quatorze autres failles sont moins graves et les risques sont beaucoup plus limités. En effet, il faut soit que l’opérateur de réseau mobile soit malveillant, soit que l’attaquant dispose d’un accès local à l’appareil, ce qui rend les attaques moins probables.
Les appareils concernés
La faille concerne des téléphones de Samsung mais aussi certains d’autres marques et également des voitures qui utilisent une puce Exynos Auto T5123.
- Samsung : y compris les S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ainsi que A04
- Vivo y compris les S16, S15, S6, X70, X60 et X30
- Google : les Pixel 6 et Pixel 7
Comment s’en prémunir ?
En attendant un correctif qui proviendrait directement du fabricant du téléphone, Google recommande de désactiver les appels Wi-Fi ainsi que la voix sur la 4G (VoLTE) dans les paramètres de l’appareil.
A noter que Google a déjà publié un correctif concernant la faille CVE-2023-24033, l’une des plus sévères, pour les appareils Pixel, elle est dans la mise à jour de sécurité de mars 2023.
Divulgation des failles
Habituellement, Project Zero divulgue les failles au bout de 90 jours. Dans le cas des quatre failles sévères, cela n’a pas encore été fait. L’équipe estime que le risque est beaucoup trop grand pour les utilisateurs et elle reporte la publication de celles-ci.
Quatre autres vulnérabilités ont été publiées après le délai de 90 jours, les dix dernières n’ont pas encore dépassé le délai imparti.
Les commentaires des actualités restent ouverts 30 jours après publication. Si vous avez une question, cherchez la page appropriée dans nos sections Mobile, Internet ou TV et postez un commentaire.