Cette semaine, les chercheurs ont rapporté qu’un milliard ou plus d’appareils Android sont vulnérables aux hacks qui pourraient les transformer en outils d’espionnage en exploitant plus de 400 vulnérabilités dans la puce Snapdragon de Qualcomm.
Les vulnérabilités de sécurité peuvent être exploitées lorsque la cible – l’utilisateur Android – télécharge une vidéo ou un autre contenu que la puce affiche, et les cibles peuvent également être attaquées en installant des applications malveillantes qui ne nécessitent aucune autorisation.
Les attaquants peuvent surveiller les sites et écouter la voix des utilisateurs d’Android en temps réel, extraire des photos et des vidéos, et il est possible pour le pirate informatique de rendre le téléphone complètement insensible, et l’attaque peut être masquée du système d’exploitation Android d’une manière qui rend le processus de détection difficile.
La puce Snapdragon fournit un ensemble de composants, tels que le processeur et le processeur graphique, et l’une des fonctions, connue sous le nom de traitement du signal numérique, ou DSP, répond à une variété de tâches, y compris les capacités de charge, la vidéo, l’audio, la réalité augmentée et d’autres fonctions multimédias. Les fabricants de téléphones Android peuvent également utiliser DSP pour exécuter des applications personnalisées offrant des avantages personnalisés.
Les chercheurs de Security Company (Check Point) ont écrit, dans un bref rapport, les faiblesses qu’ils ont découvertes, en disant: «Alors que les puces DSP fournissent une solution relativement économique qui permet aux téléphones mobiles Android de fournir aux utilisateurs finaux plus de fonctionnalités et d’activer des À un coût, ces puces présentent également des vulnérabilités pour ces appareils portables. Les puces DSP sont plus vulnérables, car elles sont gérées comme des (boîtes noires) car il peut être très difficile pour quiconque autre que le fabricant de revoir leur conception, leurs fonctionnalités ou leur code. »
Qualcomm a publié un correctif pour la faille, mais jusqu’à présent, il n’a pas été intégré au système d’exploitation Android ou à tout appareil Android utilisant la puce Snapdragon.
Check Point ne contient pas de détails techniques sur les vulnérabilités de sécurité et la manière dont elles peuvent être exploitées afin que les correctifs se retrouvent sur les appareils des utilisateurs finaux, et Check Point a également nommé les vulnérabilités Achilles, où plus de 400 erreurs distinctes telles que (CVE- 2020-11201), (CVE-2020-11202), (CVE-2020-11206), (CVE-2020-11207), (CVE-2020-11208) et (CVE-2020-11209) sont suivies.
Les responsables de Qualcomm ont déclaré dans un communiqué: «En ce qui concerne la vulnérabilité Qualcomm Compute DSP révélée par Check Point, nous avons travaillé avec diligence pour valider le problème et mettre les mesures d’atténuation appropriées à la disposition des OEM. Nous n’avons aucune preuve que cette vulnérabilité soit actuellement exploitée sur les appareils Android. Nous encourageons les utilisateurs finaux d’Android à mettre à jour leurs appareils à mesure que des correctifs sont disponibles et à installer des applications uniquement à partir de sites de confiance tels que Google Play Store. »
Check Point a déclaré: La puce Snapdragon est incluse dans environ 40% des téléphones dans le monde, avec environ 3 milliards d’appareils Android, et sur le marché américain, Snapdragon est inclus dans environ 90% des appareils.