Des millions de téléphones Android à risque en raison d'une faille de sécurité dans les puces Qualcomm

Les chercheurs de Check Point, une entreprise de cybersécurité, ont découvert des vulnérabilités dans la puce processeur de signal numérique (DSP) Qualcomm Snapdragon qui peuvent permettre aux attaquants d’obtenir des photos, des vidéos, des enregistrements d’appels, des informations de localisation et d’autres données des téléphones Android.

Les DSP sont un système sur une puce qui contient du matériel et des logiciels conçus pour prendre en charge des capacités de charge (telles que les fonctionnalités de « charge rapide »), des expériences multimédias comme la vidéo et la capture HD, des capacités AR avancées et diverses fonctionnalités audio. Pratiquement tous les smartphones modernes incluent au moins une de ces puces.

De plus, la puce Snapdragon de Qualcomm est l’une des puces les plus couramment utilisées dans les smartphones Android, tels que Google, Samsung, LG, Xiaomi, OnePlus et d’autres fabricants d’appareils, ce qui représente près de 40 % du marché global des smartphones.

Dans son rapport « Achilles : petite puce, grand péril », Check Point a souligné que plus de 400 morceaux de code vulnérable ont été trouvés à l’intérieur de la puce DSP. Ces vulnérabilités pourraient avoir les impacts suivants sur les utilisateurs de téléphones avec la puce affectée :

• Les attaquants peuvent transformer le téléphone en un outil d’espionnage parfait, sans aucune interaction de l’utilisateur requise – Les informations qui peuvent être exfiltrées du téléphone incluent des photos, des vidéos, des enregistrements d’appels, des données de microphone en temps réel, des données GPS et de localisation, etc.

• Les attaquants peuvent rendre le téléphone mobile constamment non réactif – Rendant toutes les informations stockées sur ce téléphone définitivement indisponibles – y compris des photos, des vidéos, des détails de contact, etc. – en d’autres termes, une attaque par déni de service ciblée.

• Les logiciels malveillants et autres codes malveillants peuvent cacher complètement leurs activités et devenir impossibles à supprimer.

Malgré les risques ci-dessus posés par ces vulnérabilités, Check Point n’a trouvé aucune exploitation dans le monde réel.

« Nous n’avons pas pu identifier d’utilisation de ces exploits dans la nature », a déclaré Ekram Ahmed, responsable des relations publiques chez Check Point, à TechRepublic. « Cela ne signifie bien sûr pas qu’ils n’ont pas été utilisés, mais que nous ne les avons pas repérés dans notre télémétrie. »

Après la découverte des vulnérabilités, Check Point a divulgué ses résultats à Qualcomm qui les a reconnus et a informé les fabricants d’appareils concernés.

Qualcomm a répondu aux vulnérabilités en les corrigeant et leur a attribué les CVE suivants : CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 et CVE-2020-11209.

« En ce qui concerne la vulnérabilité DSP de Qualcomm divulguée par Check Point, nous avons travaillé avec diligence pour valider le problème et rendre les atténuations appropriées disponibles pour les OEM. Nous n’avons aucune preuve qu’elle soit actuellement exploitée. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que des correctifs sont disponibles et à n’installer que des applications provenant de sources fiables telles que le Google Play Store », a déclaré un porte-parole de Qualcomm dans un communiqué.

« Bien que Qualcomm ait corrigé le problème, ce n’est malheureusement pas la fin de l’histoire. Des centaines de millions de téléphones sont exposés à ce risque de sécurité. Vous pouvez être espionné. Vous pouvez perdre toutes vos données. Notre recherche montre l’écosystème complexe dans le monde mobile. Avec une longue chaîne d’approvisionnement intégrée dans chaque téléphone, il n’est pas trivial de trouver des problèmes profondément cachés dans les téléphones mobiles, mais il n’est pas non plus trivial de les corriger », a déclaré Yaniv Balmas, responsable de la recherche cybernétique chez Check Point, dans un communiqué de presse.

Bien que la correction des vulnérabilités par Qualcomm ne soit que la première étape, il appartient maintenant aux fournisseurs mobiles de déployer les correctifs nécessaires. D’ici là, Check Point Research a décidé de ne pas publier les détails techniques complets jusqu’à ce que les fournisseurs mobiles aient une solution complète pour atténuer les risques possibles décrits.

« Nous supposons qu’il faudra des mois, voire des années, pour atténuer complètement cela. Si de telles vulnérabilités sont trouvées et utilisées par des acteurs malveillants, cela touchera des millions d’utilisateurs de téléphones mobiles avec presque aucun moyen de se protéger pendant très longtemps. Il appartient maintenant aux fournisseurs, tels que Google, Samsung et Xiaomi, d’intégrer ces correctifs dans l’ensemble de leurs gammes de téléphones, tant en fabrication que sur le marché », a déclaré Balmas.