Les puces de Qualcomm souffrent d’un défaut qui menace des centaines de millions de téléphones Android, selon un nouveau rapport.
Le rapport dit: Les pirates peuvent utiliser la faille de sécurité pour lire vos messages texte, écouter les conversations de votre téléphone et, dans certains cas, même déverrouiller votre carte SIM.
Qualcomm a expliqué qu’il avait publié un correctif pour les défauts dont souffrent les fabricants de téléphones, mais cela peut prendre un certain temps avant que de nombreux fabricants de téléphones ne paient la réparation des téléphones de la plupart des utilisateurs.
La faille réside dans le modem cellulaire MSM, qui remonte au début des années 1990 et était utilisé dans les appareils 2G, 3G, 4G et même 5G.
Le rapport estime que jusqu’à 30% des téléphones Android dans le monde, y compris les meilleurs modèles fabriqués par Samsung, Google et Xiaomi, disposent d’un logiciel de modem Qualcomm qui inclut cette vulnérabilité.
Les appareils Apple ou les téléphones Android utilisant des puces d’autres fabricants ne sont pas concernés.
Vous ne pouvez pas faire grand-chose pour résoudre ce problème vous-même, à part installer les mises à jour du système dès qu’elles arrivent.
Le rapport suggère qu’en attendant un correctif, vous devez suivre les meilleures pratiques Android standard, notamment en évitant les magasins d’applications autres que le Google Play Store et en exécutant des applications antivirus pour Android.
Un représentant du fabricant de puces a déclaré: Qualcomm a mis les réparations à la disposition des fabricants en décembre 2020, et nous encourageons les utilisateurs à mettre à jour leurs appareils à mesure que des correctifs seront disponibles.
Cette faille CVE-2020-11292 n’a été mentionnée dans aucun récent bulletin de sécurité Android, y compris le bulletin de sécurité de mai publié il y a plusieurs jours.
Un représentant de Qualcomm a déclaré: Le correctif est publiquement inclus dans le bulletin de sécurité Android de juin.
Il a ajouté: Le scénario d’attaque semble inutile car il implique d’abord le piratage de la sécurité Android, ce qui donnerait à l’attaquant le même type d’informations sur les textes et les appels qui pourraient être obtenus par effraction dans un modem MSM par la suite.
La mise en œuvre de ces correctifs prend du temps, il est donc possible que de nombreux téléphones soient toujours menacés.
Il n’y avait aucun rapport d’exploitation de cette faille. En fait, le rapport a négligé d’inclure de nombreux détails techniques de la vulnérabilité afin que les lecteurs de son rapport ne puissent pas la tester par eux-mêmes.
Il est très difficile d’attaquer avec succès les modems Qualcomm du côté réseau, nous avons donc adopté l’approche opposée et constaté que les modems peuvent être piratés à partir du système d’exploitation Android lui-même.
La source du rapport a informé Qualcomm de ce défaut en octobre 2020 et a expliqué au fabricant de puces qu’il annonçait le défaut en avril 2021.
