Google conseille aux utilisateurs d’Android de prendre des mesures après avoir trouvé 18 vulnérabilités zero-day dans les téléphones populaires

Google advises Android users to take action after finding 18 zero-day vulnerabilities in popular phones

En bref : Google a émis un avertissement aux utilisateurs de certains combinés, appareils portables et véhicules Android après que son équipe d’analystes de la sécurité du Projet Zéro ait signalé dix-huit vulnérabilités de type « jour zéro » dans les modems Exynos produits par Samsung.

Le responsable de Google Project Zero, Tim Willis, a écrit que les quatre plus graves des dix-huit vulnérabilités, qui ont toutes été signalées fin 2022 et 2023, permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction de l’utilisateur. Pour compromettre un appareil vulnérable, il suffirait qu’un attaquant connaisse le numéro de téléphone d’une cible.

Un pirate exploitant l’une des vulnérabilités obtiendrait un accès total à toutes les données se déplaçant vers et depuis l’appareil, y compris les appels, les SMs et les données mobiles. Willis écrit que des attaquants qualifiés pourraient rapidement créer un exploit opérationnel pour compromettre les appareils concernés en silence et à distance.

Les 14 vulnérabilités restantes n’étaient pas aussi graves, car elles nécessitent soit un opérateur de réseau mobile malveillant, soit un attaquant disposant d’un accès local à l’appareil.

Google conseille aux utilisateurs dAndroid de prendre des mesures apres

Google a répertorié certains des appareils dotés des chipsets Exynos susceptibles d’être affectés par les vulnérabilités :

  • Appareils mobiles de Samsung, y compris ceux des séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04
  • Appareils mobiles de Vivo, y compris ceux des séries S16, S15, S6, X70, X60 et X30
  • Les séries d’appareils Pixel 6 et Pixel 7 de Google
  • Tous les appareils portables qui utilisent le chipset Exynos W920 (y compris les Galaxy Watch 4 et 5)
  • Tous les véhicules qui utilisent le chipset Exynos Auto T5123.

La bonne nouvelle pour les propriétaires d’appareils Pixel concernés est qu’ils ont déjà été corrigés dans la mise à jour de sécurité de mars 2023. La chercheuse de Project Zero, Maddie Stone, a tweeté que malgré 90 jours pour corriger les vulnérabilités, Samsung ne l’a toujours pas fait.

Pour les propriétaires de combinés qui n’ont pas encore été corrigés, Google recommande de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de l’appareil pour supprimer le risque d’exploitation de ces vulnérabilités.


Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :

YouTube video