Des Pixel et des Galaxy fragilisés par de grosses failles dans des modems Samsung
Les chercheurs en sécurité de Google tirent la sonnette d'alarme : de grosses failles dans des modems Samsung font peser un risque de sécurité important sur des dizaines de smartphones Samsung, Google et Vivo, entre autres.
Un malandrin pourrait exploiter quatre vulnérabilités (CVE-2023-24033, les autres sont en attente d'identifiants) dans des modems Exynos pour prendre le contrôle de l'appareil visé sans aucune interaction de la part de l'utilisateur. Tout ce dont le truand a besoin, c'est du numéro de téléphone de la cible. L'équipe Project Zero estime qu'un pirate talentueux pourrait exploiter assez facilement ces failles, c'est la raison pour laquelle elle ne dévoile pas leurs détails techniques pour l'instant.
Mais si les chercheurs de Google viennent malgré tout de rendre publique l'existence de ces vulnérabilités, c'est parce que le délai de 90 jours habituellement accordé entre le signalement aux fabricants et la publication des recherches est désormais écoulé. La mise à jour de sécurité de mars pour les Pixel corrige ce problème, seulement elle n'a pas encore été déployée sur tous les terminaux (nous ne l'avons toujours pas reçue sur notre Pixel 6). Le correctif se fait également attendre chez Samsung.
Les principaux smartphones concernés par les failles sont les suivants :
- Samsung séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 A04 ;
- Pixel séries 6 et 7 ;
- Vivo séries S16, S15, S6, X70, X60 et X30.
D'autres appareils sont touchés, y compris des montres connectées (celles qui embarquent l'Exynos W920) et des voitures (avec l'Exynos Auto T5123). En attendant le colmatage, les experts en sécurité indiquent que les utilisateurs peuvent se protéger en désactivant les appels Wi-Fi et la VoLTE (appels en 4G) dans les réglages de leur smartphone. Les appels téléphoniques ne seront plus d'aussi bonne qualité, mais au moins personne ne pourra vous pirater sans que vous ne vous aperceviez de rien.
D'autres appareils sont touchés, y compris des montres connectées [...] et des voitures...
Oh le bel avenir radieux que cela nous promet !
Donc, à l'avenir, avant d'acheter une voiture il faudra demander au vendeur si la voiture embarque un modem Samsung ?
La mise à jour de sécurité de mars pour les Pixel corrige ce problème, seulement elle n'a pas encore été déployée sur tous les terminaux
Donc, ces voitures, peuvent-elles être mises à jour ? 😳
@marc_os
Biensur, même les vieille auto peuvent être mise à jour... Simplement chez le concessionnaire au lieu d'over the air.
En fait meme par USB pour pratiquement toutes les auto si tu ne veux pas aller chez le concessionnaire et que l'auto ne supporte pas le Wifi
« Tout ce dont le truand a besoin, c'est du numéro de téléphone de la cible. L'équipe Project Zero estime qu'un pirate talentueux pourrait exploiter assez facilement ces failles, c'est la raison pour laquelle elle ne dévoile pas leurs détails techniques pour l'instant. »
A de millénaire de toutes les « failles » de sécurité de l’iPhone où il faut que le pirate ait un accès physique à l’appareil suffisamment longtemps et à l’insu de son propriétaire.
C’est juste Énorme !
Comme quoi l’open source n’est vraiment pas un gage de sécurité 😉
@Yves SG
L’open source n’a rien à voir dans ce cas. La faille vient des modem et ce code est soumis à des IP, et n’est pas open source.
@Ensearque
Effectivement. Cqfd 😉
Ca fait quand même réfléchir sur la fuite en avant du tout numérique avec demain nos cartes d’identité et autres documents officiels. Entre les deepfake, les piratages et autres le futur risque d’être chaud avec des usurpations d’identité a gogo. Un pirate pourrait vous faire passer d’un citoyen tout normal en un dangereux criminel en 2 clics, voire louer, acheter a votre place.
Parceque un papier que n'importe qui peut imprimer a la maison c'est plus sécurisé qu'une faille que même toi avec tous les efforts du monde tu ne pourras pas exploiter?