Google Project Zero a mis en évidence un ensemble de failles de sécurité dangereuses dans les puces Exynos de Samsung, qui peut être exploité sans aucune interaction de l'utilisateur, et accorder à un pirate le contrôle total des appareils, allant des smartphones Android aux wearables et aux véhicules.
18 Zero-Days dans le chipset Exynos W920 et le chipset Exynos Auto T5123
La 18 les vulnérabilités zero-day impliquent le chipset Exynos W920 et le chipset Exynos Auto T5123. Du 18 défauts, quatre pourraient être utilisés pour permettre l'exécution de code à distance d'Internet à la bande de base, tel que rapporté par Google Project Zero à la fin 2022 et tôt 2023. D'après Tim Willis, responsable de Google Project Zero, ces quatre vulnérabilités permettent à un attaquant d'accéder à distance à un téléphone au niveau de la bande de base simplement en connaissant le numéro de téléphone de la victime.
CVE-2023-24033
Parmi ceux-ci, les quatre plus sévères (CVE-2023-24033 et trois autres qui n'ont pas encore reçu d'identifiants CVE) activée exécution de code distant via Internet vers la bande de base. Selon la description de la base de données nationale sur les vulnérabilités de CVE-2023-24033, Le protocole de description de session (SDP) les types de format du module ne sont pas correctement vérifiés par le modem Samsung Exynos 5123, Modem Exynos 5300, Exynos 980, Exynos 1080, et chipsets de modem bande de base Exynos Auto T512, entraînant un déni de service potentiel.
Essais par Project Zero confirmé que ceux-ci pourraient permettre à un attaquant de compromettre à distance un téléphone en bande de base, ne demandant que le numéro de téléphone de leur victime. Des attaquants qualifiés pourraient probablement créer un exploit pour le faire silencieusement et à distance avec un minimum de recherche et développement supplémentaire. Les quatorze vulnérabilités restantes (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 et neuf autres qui n'ont pas encore reçu d'ID CVE) n'étaient pas aussi sévères, car ils nécessitaient soit un opérateur de réseau mobile malveillant, soit un attaquant disposant d'un accès local à l'appareil.
Utilisateurs de Pixel 6 et 7 combinés ont déjà reçu un correctif avec le mars 2023 mises à jour de sécurité. Cependant, le moment où les autres appareils recevront leurs correctifs dépend du calendrier du fabricant. Pour réduire le risque d'être exposé aux défauts, il est conseillé aux utilisateurs de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil.
Qu'est-ce qu'un jour zéro?
Une “vulnérabilité du jour zéro” est une faille de sécurité dans un logiciel ou un matériel qui est inconnue du public et qui n'a pas encore été corrigée par le développeur du logiciel/matériel. Cela signifie que la vulnérabilité peut être exploitée avant que quiconque en soit conscient, ce qui en fait un exploit "zero-day". L'exploit peut causer divers problèmes avant d'être détecté, le rendant particulièrement dangereux.