De nombreuses vulnérabilités dans les chipsets Exynos de Samsung peuvent permettre aux attaquants de compromettre à distance certains téléphones mobiles Samsung Galaxy, Vivo et Google Pixel sans interaction de l’utilisateur.
« Avec un minimum de recherches et de progrès supplémentaires, nous pensons que des ennemis expérimentés seraient en mesure de créer rapidement une utilisation opérationnelle pour compromettre calmement et à distance les appareils concernés », Google Job Absolument aucun chercheur ne s’en est souvenu.
Ils ont décidé de rendre public avant la fin de leur délai normal de non-divulgation de 90 jours et de partager des conseils d’atténuation pour aider les utilisateurs à se protéger jusqu’à ce que les spots soient largement disponibles.
À propos des vulnérabilités
Les chercheurs Natalie Silvanovich, Ivan Fratric, Felix Wilhelm, Ian Beer et Jann Horn ont découvert un total de 18 vulnérabilités affectant une variété de chipsets Samsung Exynos, qui sont incluses dans :
- Appareils mobiles de Samsung, y compris ceux des séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04 ;
- Appareils mobiles de Vivo, comprenant parmi ceux des séries S16, S15, S6, X70, X60 et X30 ;
- Les séries d’appareils Pixel 6 et Pixel 7 de Google ; et
- Toute automobile utilisant le chipset Exynos Vehicle T5123.
Aucun détail n’a été révélé sur les 4 vulnérabilités critiques qui permettent l’exécution de code à distance en bande de base (CVE-2023 -24033 et trois actuellement sans CVE-ID).
Le reste des vulnérabilités associées (CVE-2023-26072 à CVE-2023-26076 9 sans CVE-ID) sont moins graves, « comme ils nécessitent soit un opérateur de réseau mobile nuisible, soit un agresseur disposant d’un accès local à l’appareil », selon Tim Willis, chef de projet Absolutely No.
Comment réduire le risque de compromission à distance ?
Si vous utilisez l’un des appareils concernés, vous pouvez vous protéger en désactivant les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de votre gadget, a partagé Willis.
Les appels Wi-Fi utilisent une connexion Web sans fil au lieu d’un signal cellulaire pour effectuer des appels vocaux et sont utiles dans les endroits où la protection cellulaire est faible ou inexistante. VoLTE utilise les réseaux 4G LTE au lieu des réseaux 2G ou 3G pour effectuer des appels, ce qui permet un son de meilleure qualité tout au long des appels et à l’utilisateur de faire des choses comme naviguer sur le Web ou envoyer et recevoir des messages pendant un appel.
Désactiver les appels Wi-Fi et VoLTE jusqu’à ce que vous puissiez effectuer des spots pour ces vulnérabilités implique de bénéficier d’un service plus médiocre et même de ne pas pouvoir passer d’appels téléphoniques selon l’endroit où vous vous trouvez et si les opérateurs proposés ont actuellement cessé d’utiliser la 2G et Services 3G.
Que vous parveniez ou non à désactiver les appels Wi-Fi et VoLTE, surveillez les spots et exécutez-les dès qu’ils vous sont proposés. Google a actuellement lancé une réparation pour CVE-2023-24033.
Toute l’actualité en temps réel, est sur L’Entrepreneur