Et vous pensiez que le modem Exynos était votre ami
Attachez-vous, c’est une course difficile. L’équipe Project Zero de Google a signalé 18 vulnérabilités zero-day affectant les modems Exynos trouvées dans de nombreux téléphones portables Android au cours des derniers mois. Toutes les vulnérabilités ont reçu des désignations CVE, mais tous les détails sur quatre des 18 sont retenus jusqu’à ce qu’il y ait une solution bien répandue pour eux. Ces quatre éléments permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur, et la seule information dont il a besoin est le numéro de téléphone.
Les vulnérabilités d’exécution de code à distance en bande de base sont plutôt désagréables, provenant de la bande de base logiciel exécutant votre modem n’ayant pas la sécurité en place pour empêcher le déni de service ou l’exécution de code. Le logiciel peut être mis à jour et l’a été par le passé pour résoudre des attaques similaires. Comme tout cela se déroule bien en dessous du niveau de l’utilisateur, tout cela peut se produire sans aucune indication donnée à l’utilisateur, pas même un texte ou une application suspects.
Malheureusement, cela nécessite que le fabricant crée un correctif, en ce cas Samsung, à transmettre aux fournisseurs pour ensuite pousser à leurs utilisateurs. Alors que beaucoup d’entre nous sont plus que capables de saisir directement une mise à jour Android, certains opérateurs ne fournissent que des mises à jour en direct et de nombreux utilisateurs en dépendent ; en supposant qu’ils reconnaissent et appliquent effectivement ladite mise à jour.
La liste des appareils concernés est longue, les téléphones Samsung S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A0 sont tous vulnérables, tout comme les téléphones des séries Vivo S16, S15, S6, X70, X60 et X30. Cela s’applique également à tous les véhicules qui utilisent un modem Exynos dans leurs systèmes de divertissement. On ne sait pas exactement de quels véhicules il s’agit, mais vous pouvez supposer que les mises à jour seront encore plus lentes à venir.
Google a corrigé les vulnérabilités des séries Pixel 6 et Pixel 7, mais ne célébrez pas votre choix avant d’avoir lu la première histoire sous le pli.