Avec plus de 3 milliards d’utilisateurs dans le monde , les smartphones font partie intégrante, presque inséparable de notre vie quotidienne.
Plus d’un milliard de smartphones Android sont actuellement menacés : 400 vulnérabilités ont été trouvées sur les puces de la gamme Snapdragon de Qualcomm. Ces failles peuvent être notamment exploitées lorsqu’un usager télécharge une vidéo ou tout autre contenu dont le rendu est assuré par la puce, mais aussi lorsqu’il installe un application malveillante ne nécessitant même pas d’autorisation. Un constat alarmant, révélé par la société Check Point.
Le processeur de signal numérique (DSP) abriterait pas moins de 400 extraits de code vulnérables. Les chercheurs ont baptisé cet ensemble de failles « Achille » (en référence au fameux talon). Cesvulnérabilités fourniraient aux pirates des accès potentiels au contenu des smartphones.
Alors que le marché mobile continue de croître, les constructeurs se précipitent pour fournir de nouvelles fonctionnalités, de nouvelles capacités et de meilleures innovations technologiques dans leurs derniers appareils. Pour soutenir cette volonté inlassable d’innovation, les fournisseurs font souvent appel à des tiers pour fournir le matériel et les logiciels requis pour les téléphones. L’une des solutions tierces les plus courantes est le traitement numérique de signal , communément appelée puces DSP.
Des correctifs mis en place au fur et à mesure
Plus de 400 morceaux de code vulnérables ont été trouvés dans la puce DSP ces vulnérabilités pourraient avoir l’impact suivant sur les utilisateurs de téléphones avec la puce affectée:
- Les attaquants peuvent transformer le téléphone en un outil d’espionnage parfait, sans aucune interaction de l’utilisateur requise – Les informations qui peuvent être exfiltrées du téléphone comprennent des photos, des vidéos, des enregistrements d’appels, des données de microphone en temps réel, des données GPS et de localisation, etc.
- Les attaquants peuvent être en mesure de rendre le téléphone mobile constamment insensible – Rendre toutes les informations stockées sur ce téléphone indisponibles de façon permanente – y compris les photos, vidéos, coordonnées, etc. – en d’autres termes, une attaque ciblée par déni de service.
- Les logiciels malveillants et autres codes malveillants peuvent masquer complètement leurs activités et devenir non supprimables.
Qualcomm réagit, quid de Google ?
Qualcomm a rapidement réagi en développant un correctif de sécurité bloquant l’exploitation des failles révélées par Check Point. Dans un communiqué, la firme explique :
“Nous avons travaillé avec diligence pour résoudre le problème et mettre à la disposition des équipementiers les solutions appropriées. Nous n’avons aucune preuve que ces failles sont actuellement exploitées. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que des correctifs sont disponibles et à n’installer que des applications provenant d’emplacements de confiance tels que le Google Play Store.”
Ce patch doit désormais être diffusé par Google afin que tous les appareils concernés soient finalement protégés. Évidemment, nous ne pouvons que vous conseiller de le télécharger une fois qu’il sera disponible.
Pour en savoir plus sur la vulnérabilité d’Achille, son impact sur votre organisation et comment vous pouvez vous y défendre, nous vous invitons à rejoindre notre webinaire le 13 août: session AMERICA ou session EMEA .