Les DSP dans les puces Qualcomm Snapdragon contiendraient plus de 400 vulnérabilités. Les attaquants pourraient les utiliser pour l’espionnage, les logiciels malveillants ou simplement pour faire des briques. Des correctifs sont en cours et il n’y a pas d’attaques connues, mais c’est toujours préoccupant.

Si vous utilisez un téléphone Android avec une puce Snapdragon à l’intérieur, il y a de fortes chances qu’il soit sensible à une multitude de failles de sécurité potentiellement graves. Les chercheurs en sécurité de Check Point affirment avoir découvert plus de 400 vulnérabilités de code, surnommées «Achilles», dans les processeurs de signaux numériques (DSP) des puces Snapdragon de Qualcomm.

L’équipe garde les détails secrets pour empêcher l’utilisation malveillante des vulnérabilités avant qu’il n’y ait un correctif. Les conséquences peuvent cependant être graves. Check Point affirme que les attaquants peuvent enregistrer silencieusement les appels, voler des données, rendre les appareils inutilisables et même installer des logiciels malveillants totalement silencieux et non amovibles.

Il n’est pas clair à quel point il est facile d’exploiter les failles qui en résultent. Cependant, les chercheurs ont utilisé des «technologies de test fuzz» et d’autres méthodes pour identifier les défauts des DSP, qui ont tendance à être des boîtes noires plus difficiles à étudier. Check Point a noté que les fournisseurs de téléphones ne pouvaient pas simplement résoudre ce problème car le fabricant de puces (dans ce cas, Qualcomm) devait d’abord résoudre les problèmes.

Voir également: Les meilleures applications antivirus et anti-malware pour Android

Des solutions sont heureusement en route. Qualcomm a reconnu les défauts et partagé les détails avec les marques tout en fournissant des «atténuations appropriées» aux marques, a déclaré un porte-parole à MarketWatch. Le représentant a également déclaré qu’il n’y avait «aucune preuve» d’exploits actifs et que les utilisateurs pouvaient minimiser leurs risques en obtenant des correctifs lorsqu’ils étaient disponibles et en téléchargeant des applications à partir de points de vente «de confiance» comme le Google Play Store.

La menace pratique est relativement faible jusqu’à et à moins qu’il y ait un exploit d’Achille dans la nature. Même ainsi, il y a une raison importante de s’inquiéter. Les puces Snapdragon figuraient dans environ 40% des téléphones livrés en 2019 et sont présentes dans des appareils de poids lourds comme Samsung, LG et Xiaomi. Cela laisse potentiellement «des centaines de millions» de téléphones exposés, selon le directeur de recherche de Check Point, Yaniv Balmas, et les réparer tous pourrait être difficile, voire impossible.

Qualcomm lui-même fournit une prise en charge étendue pour les appareils Android, mais cela ne s’étend pas aux fournisseurs eux-mêmes. Comme il est devenu trop clair, les fournisseurs d’Android sont historiquement lents à fournir des mises à jour et peuvent interrompre le support beaucoup plus tôt que Qualcomm. Bien que les correctifs de sécurité soient parfois livrés plus tôt et au-delà des calendriers de support habituels, il se peut que des millions de téléphones ne reçoivent jamais de correctifs en raison de leur âge ou des politiques de mise à jour des fournisseurs.