Les chercheurs en sécurité de Google tirent la sonnette d'alarme : de grosses failles dans des modems Samsung font peser un risque de sécurité important sur des dizaines de smartphones Samsung, Google et Vivo, entre autres.
Un malandrin pourrait exploiter quatre vulnérabilités (CVE-2023-24033, les autres sont en attente d'identifiants) dans des modems Exynos pour prendre le contrôle de l'appareil visé sans aucune interaction de la part de l'utilisateur. Tout ce dont le truand a besoin, c'est du numéro de téléphone de la cible. L'équipe Project Zero estime qu'un pirate talentueux pourrait exploiter assez facilement ces failles, c'est la raison pour laquelle elle ne dévoile pas leurs détails techniques pour l'instant.
Mais si les chercheurs de Google viennent malgré tout de rendre publique l'existence de ces vulnérabilités, c'est parce que le délai de 90 jours habituellement accordé entre le signalement aux fabricants et la publication des recherches est désormais écoulé. La mise à jour de sécurité de mars pour les Pixel corrige ce problème, seulement elle n'a pas encore été déployée sur tous les terminaux (nous ne l'avons toujours pas reçue sur notre Pixel 6). Le correctif se fait également attendre chez Samsung.
Les principaux smartphones concernés par les failles sont les suivants :
- Samsung séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 A04 ;
- Pixel séries 6 et 7 ;
- Vivo séries S16, S15, S6, X70, X60 et X30.
D'autres appareils sont touchés, y compris des montres connectées (celles qui embarquent l'Exynos W920) et des voitures (avec l'Exynos Auto T5123). En attendant le colmatage, les experts en sécurité indiquent que les utilisateurs peuvent se protéger en désactivant les appels Wi-Fi et la VoLTE (appels en 4G) dans les réglages de leur smartphone. Les appels téléphoniques ne seront plus d'aussi bonne qualité, mais au moins personne ne pourra vous pirater sans que vous ne vous aperceviez de rien.
