Lundi dernier, le fabricant de puces Qualcomm a confirmé qu’une faille zero-day était présente dans plusieurs chipsets équipant de nombreux appareils Android. Quelle est l’ampleur des dégâts ?
Qualcomm confirme une vulnérabilité dans plusieurs de ses chipsets
Révélée par des chercheurs en sécurité du groupe d’analyse des menaces de Google et du laboratoire de sécurité d’Amnesty International, cette brèche aurait été exploitée pour mener des attaques à grande échelle. Parmi les smartphones touchés figurent des modèles de Samsung, Motorola, ainsi que OnePlus.
Qualcomm : une faille aux dégâts inconnus
Dénommée officiellement « CVE-2024-43047 », la faille zero-day « pourrait faire l’objet d’une exploitation limitée et ciblée », selon le communiqué de Qualcomm. Les chipsets concernés comprennent des modèles très populaires tels que le Snapdragon 8 Gen 1, le Snapdragon Auto 5G-RF Gen 2, ainsi que des modules FastConnect comme les séries 6700, 6800 et 6900, sans oublier les modems Snapdragon X55 5G.
Ces chipsets se retrouvent dans les smartphones de divers constructeurs, notamment Xiaomi, Oppo, Samsung, Motorola, Oppo et Vivo. À ce stade, aucune information n’est disponible concernant la nature exacte de cette faille ni les personnes qui pourraient en tirer parti.
Catherine Baker, porte-parole de Qualcomm, a remercié les chercheurs de Google Project Zero et de l’Amnesty International Security Lab pour leur coordination, qui a permis à l’entreprise d’agir plus rapidement.
I found an issue in collaboration with Amnesty and TAG that we have indication may be used ITW, CVE-2024-43047. Seehttps://t.co/yvGrGxw5kv
for the details. Hopefully the bug will be patched on Android devices very soon ....— Seth Jenkins (@__sethJenkins) October 7, 2024
Un correctif déjà disponible pour vos chipsets
Qualcomm a indiqué qu’un correctif permettant de résoudre cette faille était disponible depuis le mois dernier, mais il appartient aux fabricants d’appareils de déployer ces correctifs sur les dispositifs de leurs clients.
Dans l’ensemble, Qualcomm a identifié près de 64 chipsets affectés par cette potentielle faille, ce qui peut compromettre les données de millions d’utilisateurs à travers le mode. Cette faille figure d’ailleurs sur le site de l’agence américaine de cybersécurité CISA parmi les « vulnérabilités connues pour être, ou avoir été, exploitées ».
Il convient de noter que Google et Amnesty mènent déjà une enquête pour obtenir plus de détails sur cette faille. La porte-parole d’Amnesty, Hajira Maryam, a déclaré à TechCrunch que des recherches « devraient bientôt être dévoilées ».
Cette année a été chargée pour Qualcomm, qui a corrigé de nombreuses failles permettant de corrompre la mémoire, ainsi que des vulnérabilités permettant aux attaquants d’accéder à des fichiers multimédias, à des messages texte, à l’historique des appels et aux conversations en temps réel des utilisateurs. Une faille dans la puce Snapdragon Digital Signal Processor (DSP) avait également été corrigée, permettant aux pirates de contrôler les smartphones des victimes sans interaction.