Les vulnérabilités détectées dans la puce de Qualcomm mettent 40% des smartphones en danger
La puce Snapdragon DSP (Digital Signal Processor) basée sur Qualcomm a été découverte Plusieurs vulnérabilités de sécurité que les attaquants pourraient utiliser pour contrôler plus de 40% de SmartPhones, surveiller leurs utilisateurs et injecter des logiciels malveillants qui échappent à la détection.
Les DSP sont des unités de système sur puce, utilisées pour l’audio pour le traitement du signal et des images numériques et les télécommunications, dans l’électronique grand public, y compris les téléviseurs et les téléphones mobiles. Ces puces peuvent être ajoutées à n’importe quel appareil. Malheureusement, ils peuvent introduire de nouveaux points de semaine et étendre la surface d’attaque des appareils.
Selon les chercheurs de Check Point, les puces DSP vulnérables “peuvent être trouvées dans presque tous les téléphones Android de la planète, y compris les téléphones haut de gamme de Google, Samsung, LG, Xiaomi, OnePlus, et plus encore. Cependant, la gamme iPhone SmartPhone d’Apple n’est pas touchés par les problèmes de sécurité, selon le rapport des chercheurs.
Le point de contrôle a divulgué leurs conclusions à Qualcomm qui les reconnaît et informe les fournisseurs d’appareils et leur attribue six CVE qui incluent: CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 et CVE-2020-11209. Selon les chercheurs, les vulnérabilités permettent aux attaquants de:
Transformez le téléphone en un outil d’espionnage parfait, sans aucune interaction de l’utilisateur requise. Les informations qui peuvent être filtrées du téléphone comprennent des photos, des vidéos, des enregistrements d’appels, des données de microphone en temps réel, des données GPS et de localisation, etc.
Rendre le téléphone mobile constamment insensible. Rendre indisponibles en permanence toutes les informations stockées sur ce téléphone – y compris les photos, vidéos, coordonnées, etc. – en d’autres termes, une attaque ciblée par déni de service,
Utiliser des logiciels malveillants et d’autres codes malveillants peut masquer complètement leurs activités et devenir inamovibles
Qualcomm a corrigé les six failles de sécurité trouvées sur la puce DSP. Cependant, la menace est là puisque les appareils sont toujours vulnérables aux attaques.
Les chercheurs n’ont publié aucune information technique sur les vulnérabilités. Ils ont déclaré dans le rapport de recherche: “Cependant, nous avons décidé de publier ce blog pour sensibiliser le public à ces problèmes. Nous avons également mis à jour les responsables gouvernementaux concernés et les fournisseurs de téléphones mobiles avec lesquels nous avons collaboré dans le cadre de cette recherche pour les aider à fabriquer leurs téléphones. plus sûr. Les détails complets de la recherche ont été révélés à ces parties prenantes. “
Le porte-parole de Qualcomm a déclaré: «Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm. En ce qui concerne la vulnérabilité Qualcomm Compute DSP révélée par Check Point, nous avons travaillé avec diligence pour valider le problème et mettre les mesures d’atténuation appropriées à la disposition des OEM. Nous n’avons aucune preuve qu’il est actuellement exploité. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que les correctifs sont disponibles et à n’installer les applications qu’à partir d’emplacements de confiance tels que le Google Play Store. “
«Bien que Qualcomm ait résolu le problème, ce n’est malheureusement pas la fin de l’histoire. Des centaines de millions de téléphones sont exposés à ce risque de sécurité. Vous pouvez être espionné. Vous pouvez perdre toutes vos données. Si de telles vulnérabilités sont découvertes et utilisées par des acteurs malveillants, des millions d’utilisateurs de téléphones portables n’auront pratiquement aucun moyen de se protéger pendant très longtemps », a déclaré le responsable de la cyber-recherche chez Check Point, Yaniv Balmas.
Les chercheurs à l’origine de ces vulnérabilités seront présentés demain à DEF CON 2020 par Slava Makkaveev, chercheur chez Check Point Security.
«Il appartient maintenant aux fournisseurs, tels que Google, Samsung et Xiaomi, d’intégrer ces correctifs dans l’ensemble de leurs lignes téléphoniques, à la fois dans la fabrication et sur le marché. Nos estimations sont qu’il faudra un certain temps à tous les fournisseurs pour intégrer les correctifs dans tous leurs téléphones. Par conséquent, nous ne pensons pas que publier les détails techniques avec tout le monde soit la chose responsable à faire étant donné le risque élevé que cela tombe entre de mauvaises mains. Pour l’instant, les consommateurs doivent attendre que les fournisseurs concernés mettent également en œuvre des correctifs. »