D’après un article de blog de Google Project Zero (via TechCrunch), un trio de vulnérabilités zero-day dans certains téléphones Samsung Galaxy plus récents était exploité par un fournisseur de surveillance commerciale. Ces entreprises peuvent être des entreprises de télécommunications ou de technologie qui suivent leurs clients dans le but de monétiser des données personnelles en envoyant des publicités personnalisées. Ou cela pourrait être plus sinistre (plus à ce sujet ci-dessous).
Certains combinés Samsung Galaxy utilisant le chipset Exynos maison présentaient ces vulnérabilités
Selon le Federal Trade Commission, ces entreprises s’engagent dans la « collecte, l’agrégation, l’analyse, la conservation, le transfert ou la monétisation des données des consommateurs et des dérivés directs de ces informations ». Et en plus de nuire aux consommateurs avec ces actions, la FTC cherche à collecter des informations montrant que ces actions entraînent des dommages psychologiques, des atteintes à la réputation et des intrusions indésirables qui ont lieu lors de la collecte de ces données personnelles.
L’un des téléphones exploités était le Samsung Galaxy S10
Mais cette situation particulière pourrait être plus grave. Alors que Google n’a pas nommé de fournisseur de surveillance commerciale spécifique, il a déclaré que le modèle ressemblait à une exploitation précédente qui fournissait un « puissant logiciel espion d’État-nation » via une application Android malveillante. Les vulnérabilités trouvées dans le logiciel personnalisé de Samsung faisaient partie d’une chaîne d’exploitation qui permettrait à l’attaquant d’obtenir des privilèges de lecture et d’écriture du noyau qui pourraient éventuellement révéler des données personnelles sur le téléphone.
L’exploit cible les combinés Samsung Galaxy alimentés par un SoC Exynos utilisant le noyau 4.14.113. Les téléphones correspondant à cette description incluent le Samsung Galaxy S10, le Galaxy A50 et le Galaxy A51. Les versions de ces téléphones vendues aux États-Unis et en Chine sont équipées d’un chipset Qualcomm Snapdragon tandis que dans la plupart des autres continents comme l’Europe et l’Afrique, le SoC Exynos est utilisé. Google indique que l’exploit « repose à la fois sur le pilote Mali GPU et sur le pilote DPU qui sont spécifiques aux téléphones Exynos Samsung ».
Les problèmes commençaient lorsqu’un utilisateur était amené à charger une application sur son téléphone. Dans ce cas, le chargement latéral signifie le téléchargement d’une application à partir d’un magasin d’applications Android tiers qui n’est pas le Google Play Store. Google a signalé à Samsung à propos des vulnérabilités en 2020 et bien que Sammy ait envoyé un correctif en mars 2021, la société n’a pas mentionné que les vulnérabilités étaient activement exploitées.
Maddie Stone de Google, qui a écrit le billet de blog, déclare : « L’analyse de cette chaîne d’exploitation nous a fourni de nouvelles informations importantes sur la façon dont les attaquants ciblent les appareils Android. Stone a également souligné qu’avec plus de recherches, de nouvelles vulnérabilités pourraient être découvertes dans logiciel personnalisé utilisé sur les appareils Android par les fabricants de téléphones comme Samsung. Stone a ajouté : « Cela met en évidence le besoin de plus de recherche sur les composants spécifiques au fabricant. Cela montre où nous devrions faire une analyse plus poussée des variantes. »
Utilisez la section des commentaires sur le Play Store ou une boutique d’applications Android tierce pour rechercher les signaux d’alarme
À l’avenir, Samsung a accepté de révéler quand ses vulnérabilités sont activement exploitées en rejoignant Apple et Google. Ces deux derniers fabricants alertent déjà les utilisateurs lorsqu’un tel événement se produit.
De retour en juin, nous vous avons parlé d’un logiciel espion appelé Hermit qui a été utilisé par les gouvernements sur des victimes ciblées en Italie et au Kazakhstan. Semblable au problème de sécurité rencontré sur les trois téléphones Galaxy alimentés par Exynos, Hermit a exigé qu’un utilisateur charge une application malveillante. Finalement, ce malware volerait les contacts, les données de localisation, les photos, les vidéos et les enregistrements audio du combiné de la victime.
Une règle rapide et sale qui pourrait encore fonctionner ces jours-ci consiste à examiner attentivement la section des commentaires avant d’installer une application d’un développeur dont vous n’avez jamais entendu parler auparavant. Si des drapeaux rouges apparaissent, fuyez rapidement la liste de cette application et ne regardez jamais en arrière. Un autre bon conseil est de ne charger aucune application. Oui, les applications contenant des logiciels malveillants traversent trop souvent la sécurité de Google Play, mais vous êtes probablement encore moins susceptible d’être « infecté » en vous en tenant au chargement des applications à partir du Play Store.