[ad_1]
Google avertit les propriétaires de certains téléphones Samsung, Vivo et Pixel qu’une série d’exploits permettent à de mauvais acteurs de compromettre des appareils simplement en connaissant les numéros de téléphone – et les propriétaires d’appareils ne remarqueraient rien.
Project Zero, l’équipe interne d’experts et d’analystes en cybersécurité de Google, a décrit dans dix-huit exploits potentiels différents dans certains téléphones utilisant les modems Exynos de Samsung. Ces exploits sont si graves qu’ils doivent être traités comme des vulnérabilités zero-day (indiquant qu’ils doivent être corrigés immédiatement). Quatre de ces exploits nécessitent seulement qu’un attaquant ait le bon numéro de téléphone pour accéder aux données entrant et sortant du modem d’un appareil, comme les appels téléphoniques et les SMS.
Les 14 autres exploits sont moins inquiétants car ils nécessitent plus d’efforts pour exposer leur vulnérabilité – les attaquants auraient besoin d’un accès à l’appareil localement ou aux systèmes d’un opérateur cellulaire, comme indiqué.
Les propriétaires des appareils concernés doivent installer les mises à jour de sécurité à venir dès que possible, bien que ce soit aux fabricants de téléphones quand un correctif logiciel sera publié pour chaque appareil. En attendant, Google indique que les propriétaires d’appareils peuvent éviter d’être ciblés par ces exploits en désactivant les appels WiFi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil.
Dans l’article de blog, Google a répertorié les téléphones utilisant les modems Exynos, admettant par inadvertance que ses téléphones Pixel haut de gamme utilisent les modems de Samsung depuis des années. La liste comprend également une poignée de dispositifs portables et de voitures utilisant des modems spécifiques.
- Téléphones de Samsung, y compris ceux de la série premium Galaxy S22, des séries milieu de gamme M33, M13, M12, A71 et A53 et des séries abordables A33, A21, A13, A12 et A04 ;
- Appareils mobiles de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30 ;
- Les séries d’appareils haut de gamme Pixel 6 et Pixel 7 de Google (au moins l’une des quatre vulnérabilités les plus graves a été corrigée dans la mise à jour de sécurité de mars) ;
- Tous les appareils portables qui utilisent le chipset Exynos W920 ; et
- Tous les véhicules qui utilisent le chipset Exynos Auto T5123.
Google a signalé ces découvertes d’exploits aux fabricants de téléphones concernés fin 2022 et début 2023, indique le blog. Mais l’équipe de Project Zero a choisi de ne pas divulguer quatre autres vulnérabilités par prudence en raison de leur gravité continue, rompant avec sa pratique habituelle de divulguer tous les exploits dans un délai déterminé après les avoir signalés aux entreprises concernées.
Samsung n’a pas répondu à une demande de commentaire au moment de la publication.