Les chercheurs de l'équipe Project Zero de Google - une équipe interne dédiée à la découverte et au colmatage de vulnérabilités dites « zero-day » dans le hardware mobile, le logiciel, les navigateurs et les librairies libres - ont publié leur trouvaille d'une belle brochette de pas moins de 18 failles dans les SoC Exynos mobile et modem récents de Samsung ! Les puces en question sont utilisées et actives dans de nombreux appareils :
- Séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04 chez Samsung
- Séries S16, S15, S6, X70, X60 et X30 chez Vivo,
- Séries Pixel 6 et Pixel 7 chez Google
- Tous les véhicules intégrant une puce Exynos Auto T5123.
La liste est potentiellement incomplète, étant donné qu'elle a été extrapolée par les chercheurs à partir de la liste des chipsets Exynos affectés. Le chipset Exynos W920 faisait initialement partie de la liste aux côtés des Exynos 850, 980, 1080, 1280, 2200, Exynos Modem 5123, 5300 et Exynos Auto T5123, mais Samsung l'en a écarté depuis.
La bonne nouvelle, c'est que sur les 18 failles (qui sont toutes liées), 14 sont considérées comme étant moins critiques, car étant un peu plus difficiles et contraignantes à exploiter. La mauvaise, c'est que les 4 restantes sont qualifiées de très critiques et présentent un mélange très rare de niveau d'accès obtenu et de rapidité d'élaboration d'une exploitation opérationnelle fiable. Par conséquent, Project Zero a décidé de retarder la divulgation complète de la méthode d'exploitation, précisant seulement qu'elles sont potentiellement exploitables totalement silencieusement et à distance par un attaquant un tant soit peu compétent, et qui n'aurait besoin que du numéro de téléphone de la victime pour exécuter du code via le modem réseau et obtenir ainsi un accès privilégié à l'ensemble de l'appareil !
Google a déjà patché la faille la plus critique - aka CVE-2023-24033 - via ses mises à jour de sécurité de mars 2023 pour les Pixel 6 et Pixel 7. Pour les utilisateurs d'un autre appareil, il va falloir attendre et espérer que les autres fabricants concernés fassent à leur tour le travail nécessaire, puis d'installer la mise à jour immédiatement le moment venu. En attendant, Project Zero propose deux solutions pour limiter les risques : désactiver les appels WiFi et la VoLTE (Voice-over-LTE), ce qui devrait être possible et facile à faire sur la plupart des appareils, à l'exception par exemple des Pixel de Google sur lesquels la VoLTE est activée par défaut et n'est pas désactivable. (Source : Project Zero)
