Google a découvert une grave vulnérabilité dans la sécurité des smartphones Samsung

Une grave vulnérabilité a été découverte dans les puces Exynos de Samsung. Le géant sud-coréen retarde le déploiement du patch ?

Depuis plusieurs années, les puces Exynos de Samsung font l’objet de nombreuses critiques pour ne pas être à la hauteur de l’offre de Qualcomm : faible autonomie, surchauffe, performances photo, et jeux vidéo assez faibles notamment. Ces craintes sont devenues un véritable cauchemar pour Samsung , c’est pourquoi le géant sud-coréen n’a pas proposé le Galaxy S23 avec une puce Exynos en 2023. Les puces Qualcomm devraient désormais alimenter les smartphones phares de Samsung pour les années à venir, mais cela ne veut pas dire signifie que le fabricant a décidé de les abandonner complètement. Il les réserve à ses appareils d’entrée et de milieu de gamme.

Une grave vulnérabilité découverte dans les puces Exynos de Samsung

Et bien que l’on puisse dire que la situation avec ces puces ne pourrait pas être pire, l’équipe de sécurité de Google Project Zero a trouvé une grave faille de sécurité dans ces composants, plus précisément dans le firmware utilisé par les modems Exynos. Selon le rapport, les pirates pourraient exploiter cette vulnérabilité simplement en envoyant un message texte malveillant ou en infectant un téléphone en installant une application avec un code malveillant.

Une fois que les pirates ont infecté leur cible, ils peuvent prendre le contrôle du microphone, de la caméra et d’autres capteurs. Pire encore, ils pourraient accéder aux données sensibles stockées sur l’appareil, y compris les mots de passe et les photos. Un article publié sur le blog de Project Zero indique également que la vulnérabilité est assez facile à exploiter, même pour des équipes disposant de relativement peu de fonds.

Samsung retarde le déploiement du patch ?

Au total, l’équipe de Project Zero a trouvé au moins 18 vulnérabilités différentes affectant les modems Exynos. Quatre d’entre eux sont extrêmement graves et pourraient permettre aux pirates d’accéder à distance au téléphone sans aucune interaction de l’utilisateur. Ils n’auront besoin que du numéro de téléphone de leur victime potentielle. Google a refusé de partager des détails sur cette vulnérabilité car elle peut être exploitée très facilement. Le reste des vulnérabilités identifiées sont assez mineures.

L’équipe de Project Zero est au courant de ces lacunes depuis fin 2022, et c’est à ce moment-là qu’elle a alerté Samsung. Cependant, le géant sud-coréen n’a toujours pas publié de correctif bien qu’il le sache depuis plus de trois mois. Un chercheur de Project Zero a même publiquement critiqué Samsung pour sa lenteur à publier le patch.

La liste des appareils concernés par ces vulnérabilités comprend le produit phare de l’année dernière, à savoir le Samsung Galaxy S23, deux appareils de la série M – Galaxy M33 et M13, plusieurs de la série A – A71, A53, A33, A21s, A13, A12. et A04 – ainsi que les Google Pixel 6 et Pixel 7. Outre ces appareils, cette faille affecte également plusieurs appareils Vivo utilisant le même modem Exynos. Ce sont les Vivo S16, s15, S6, X70, X60 et X30. Google a déclaré que la mise à jour de sécurité de mars corrigera ces failles pour les appareils Pixel.

Les utilisateurs finaux n’ont toujours pas de correctifs 90 jours après le rapport…. https://t.co/dkA9kuzTso

– Maddie Stone (@maddiestone) 16 mars 2023