Dans un billet de blog, Check Point indique avoir découvert une faille de sécurité dans le modem de station mobile (MSM) de Qualcomm, la puce de communication cellulaire présente dans près de 40% des smartphones dans le monde. Elle équipe notamment les téléphones haut de gamme commercialisés par Google, Samsung, LG, Xiaomi et One Plus.
Si elle était exploitée, la vulnérabilité permettrait à un attaquant d’utiliser le système d’exploitation Android comme point d’entrée pour injecter du code malveillant et invisible dans les smartphones, lui permettant ainsi d’accéder aux SMS et aux conversations téléphoniques. Il pourrait également déverrouiller la carte SIM de l’appareil, surmontant ainsi les limitations imposées par les fournisseurs de services. « MSM a toujours été et continuera d’être une cible privilégiée pour la recherche en sécurité et pour les cybercriminels », indique Check Point dans son billet.
Android communique avec le processeur de la puce MSM via l’interface Qualcomm MSM (QMI), un protocole propriétaire qui permet la communication entre les composants logiciels du MSM et d’autres sous-systèmes périphériques de l’appareil tels que les caméras et les scanners d’empreintes digitales. Ce protocole est quant à lui présent dans 30% des smartphones. Seuls ces derniers seraient donc vulnérables aux attaques. « On sait peu de choses sur son rôle en tant que vecteur d’attaque possible », tient toutefois à préciser Check Point.
L’éditeur a averti Qualcomm en octobre dernier, qui a confirmé le problème, l’a défini comme une vulnérabilité de premier ordre et l’a classée en tant que CVE-2020-11292, en informant les fournisseurs d’appareils concernés. Interrogé par nos confrères de The Record, le fondeur a assuré qu’il avait fourni des correctifs aux fournisseurs de smartphones en décembre dernier, mais qu’il ne savait pas combien d’entre-eux avaient appliqué ces correctifs.
Check-Point conseille de mettre son smartphone à jour avec la dernière version du système d’exploitation, de ne télécharger que des applications à partir des marketplaces officielles, d’activer le nettoyage à distance pour minimiser la probabilité de perte de données sensibles et, last but not least, d’installer une solution de sécurité.