Une faille de sécurité désormais corrigée découverte dans les puces MSM de Qualcomm aurait pu permettre aux attaquants d’accéder aux messages SMS et aux conversations téléphoniques d’environ un tiers des smartphones Android du monde.
Qualcomm est l’un des plus grands fabricants de puces d’aujourd’hui et ses puces se trouvent actuellement dans plus de 40% des smartphones, y compris les appareils haut de gamme de Google, Samsung, LG, Xiaomi et OnePlus.
La vulnérabilité, suivie sous le nom de CVE-2020-11292, a été découverte par des chercheurs en sécurité de Check Point Research lors de l’utilisation d’un processus appelé fuzzing pour tester le modem de station mobile (MSM) de Qualcomm à la recherche de défauts dans son micrologiciel.
Le fabricant de puces a également créé un protocole propriétaire appelé Qualcomm MSM Interface (QMI) qui permet à ses puces MSM de communiquer avec d’autres sous-systèmes périphériques sur un appareil Android tels que des caméras et des scanners d’empreintes digitales. Selon le cabinet d’études de marché de la technologie Counterpoint, QMI se trouve sur environ 30 pour cent de tous les téléphones mobiles dans le monde, bien que son rôle en tant que vecteur d’attaque soit peu connu.
Sommaire
Vulnérabilité MSM
Au cours de son enquête, Check Point a découvert une vulnérabilité dans les puces MSM de Qualcomm qui peut être utilisée pour contrôler le modem d’un smartphone et le patcher dynamiquement à partir du processeur d’application.
En conséquence, un attaquant aurait pu exploiter la vulnérabilité en question pour injecter un code malveillant dans le modem d’un appareil à partir d’Android, ce qui lui donnerait un accès complet à l’historique des appels et aux messages texte d’un utilisateur, ainsi que la possibilité d’écouter les conversations téléphoniques d’un utilisateur. De plus, un pirate informatique pourrait également exploiter la vulnérabilité pour déverrouiller la carte SIM d’un appareil.
Check Point a divulgué sa découverte de manière responsable à Qualcomm et le fabricant de puces a développé un correctif pour le problème tout en informant également les fournisseurs de smartphones concernés. Les utilisateurs doivent appliquer les dernières mises à jour du fabricant de leur smartphone pour les protéger de tout exploit possible dans la nature.
Afin de se protéger contre des vulnérabilités similaires, Check Point recommande aux utilisateurs de mettre à jour leur système d’exploitation avec la dernière version, d’installer uniquement les applications des magasins d’applications officiels comme le Google Play Store et d’installer un antivirus mobile pour une protection supplémentaire. Les organisations doivent quant à elles activer la capacité de «suppression à distance» de tous les appareils de travail de leurs employés afin de minimiser la probabilité de perte de données sensibles.
Via Ars Technica
