L’équipe de recherche sur la sécurité Project Zero de Google a découvert 18 problèmes de sécurité liés aux chipsets Exynos de Samsung qui sont utilisés dans les smartphones, les appareils mobiles, les appareils portables et les voitures.
Quatre des 18 vulnérabilités signalées sont critiques et pourraient permettre aux cybercriminels de pirater des smartphones à distance, avec la seule aide du numéro de téléphone de l’utilisateur.
Tim Willis, responsable de Project Zero, a déclaré que les tests menés par la société ont confirmé que ces quatre vulnérabilités permettent à un pirate de « compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur ».
« Avec une recherche et un développement supplémentaires limités, nous pensons que des attaquants qualifiés seraient en mesure de créer rapidement un exploit opérationnel pour compromettre les appareils concernés en silence et à distance », a déclaré M. Willis.
Cependant, le rapport a révélé que les 14 autres vulnérabilités ne sont pas aussi graves, car elles nécessitent soit un opérateur de réseau mobile malveillant, soit un attaquant disposant d’un accès local à l’appareil.
Les appareils mobiles concernés comprennent les téléphones des séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 de la société sud-coréenne Samsung.
Les autres appareils incluent les téléphones des séries chinoises Vivo, S16, S15, S6, X70, X60 et X30 ; Les téléphones des séries Pixel 6 et Pixel 7 de Google ; et tous les véhicules qui utilisent le chipset Exynos Auto T5123.
En vertu de sa politique de divulgation standard, Project Zero divulgue les vulnérabilités de sécurité au public un certain temps après les avoir signalées à un fournisseur de logiciels ou de matériel.
Ce n’est toujours pas clair.
Les chercheurs de Project Zero s’attendent à ce que les délais de mise à jour varient d’un fabricant à l’autre. Par exemple, les appareils Pixel concernés ont déjà reçu une mise à jour de sécurité ce mois-ci. Bien que Google ait déjà corrigé les problèmes des téléphones de la série Pixel 7, la mise à jour n’a pas encore atteint les téléphones de la série Pixel 6.
En attendant, Google recommande aux utilisateurs disposant d’appareils concernés de se protéger des vulnérabilités en désactivant les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil. VoLTE est la façon dont les téléphones et les opérateurs transmettent nos voix lors d’un appel.
« Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que possible, pour s’assurer qu’ils exécutent les dernières versions qui corrigent les vulnérabilités de sécurité divulguées et non divulguées », a déclaré M. Willis.
Samsung, qui était le plus grand fabricant de smartphones l’année dernière, et d’autres fournisseurs n’ont pas encore résolu les problèmes affectant les puces Exynos.
En septembre de l’année dernière, Samsung a déclaré avoir subi une faille de cybersécurité en juillet qui a révélé les informations personnelles de certains clients aux États-Unis.
Mis à jour : 18 mars 2023, 04h00