Amnesty International révèle que la police serbe a caché des virus espions sur le smartphone de certains journalistes ou activistes. Pendant des interrogatoires, des policiers se sont emparés de leur téléphone à leur insu, avant de les déverrouiller avec Cellebrite, un outil de déverrouillage massivement adopté par les forces de l’ordre dans le monde. Il a été conçu par une entreprise israélienne du même nom, reconnue comme l’un des leaders dans le domaine de l’analyse et de la criminalistique sur mobile.
Une fois le smartphone déverrouillé, les experts de la police serbe ont glissé un malware espion baptisé NoviSpy. Il permet d’écouter des conversations à distance par le biais du microphone ou de prendre des photos avec l’appareil à l’insu des utilisateurs.
À lire aussi : Cyberattaque russe sur Android – 2 virus espions se lancent dans le vol de données
Des millions de smartphones Android vulnérables
En partenariat avec les chercheurs de Project Zero de Google, Amnesty a pu déterminer que Cellebrite s’appuie sur des vulnérabilités issues des puces de Qualcomm pour déverrouiller les smartphones Android. Les failles ont aussi été utilisées pour installer le virus espion, dans la seconde partie de l’opération.
Les composants de Qualcomm sont omniprésents sur les appareils mobiles sous Android. L’une des failles identifiées « affecte de nombreux appareils Android utilisant des chipsets Qualcomm populaires, concernant des millions d’appareils Android dans le monde entier », indique Amesty.
Sur base des informations fournies par Amesty, Google a pu identifier six vulnérabilités de type zéro-day dans les puces de Qualcomm. Sur base des « journaux d’erreurs critiques du noyau », Project Zero a mené « une recherche approfondie qui a permis d’identifier six vulnérabilités dans un pilote Qualcomm en l’espace de 2 mois et demi ». Les chercheurs ont pu confirmer que les failles ont bien été exploitées dans le cadre de cyberattaques.
Dans certains cas, c’est le pilote FastRPC (Fast Remote Procedure Call) des puces qui a souffert d’une défaillance. Il permet à des applications tournant sur le processeur principal d’exécuter des opérations complexes sur un coprocesseur, comme le DSP (Digital Signal Processor).
À lire aussi : 30 000 appareils Android piratés doivent être « immédiatement déconnectés d’Internet »
Des failles rapidement corrigées… ou presque
Malgré les avertissements de Google, Qualcomm n’a pas encore corrigé l’intégralité des failles. En effet, la vulnérabilité CVE-2024-49848, qui permet à un attaquant de se servir d’un bug dans la gestion de la mémoire pour garder un accès au système, n’a pas encore eu droit à un correctif. Une solution a été développée, mais elle n’est pas encore été déployée.
Les autres vulnérabilités ont par contre été corrigées, bien que Qualcomm ait pris plus de 90 jours pour combler certaines brèches. Dans l’industrie de la cybersécurité, c’est la norme d’accorder un délai de 90 jours aux entreprises pour corriger une faille de sécurité après sa découverte.
Dans une réaction adressée à Bleeping Computer, Qualcomm remercie « les chercheurs de Google Project Zero et de l’Amnesty International Security Lab pour avoir suivi des pratiques de divulgation coordonnées ».
« Concernant leurs travaux sur les pilotes FastRPC, des correctifs ont été fournis à nos clients dès septembre 2024. Nous recommandons aux utilisateurs finaux d’installer les mises à jour de sécurité dès qu’elles sont disponibles auprès des fabricants de leurs appareils », recommande Qualcomm, soulignant que « le développement de technologies visant à garantir une sécurité et une confidentialité renforcées est une priorité pour Qualcomm ».
Malheureusement, les failles risquent de rester béantes pendant un certain de temps, du moins sur certains appareils. Bien que les constructeurs aient reçu les correctifs, il peut s’écouler des mois avant que toutes les puces vulnérables soient mises à jour par les utilisateurs. De nombreux usagers négligent en effet d’installer les mises à jour de sécurité. Il y a aussi le cas des smartphones obsolètes, privés de correctifs.
Comme le souligne Google dans son rapport, « la sécurité d’un système repose sur son maillon le plus faible, et en 2024, les pilotes de chipset et de GPU constituent l’une des principales faiblesses qui entravent la séparation des privilèges sur Android ». Cette année, de nombreuses failles ont été identifiées dans les puces de Qualcomm. Au début de l’automne, des vulnérabilités ont été trouvées dans une dizaine de chipsets. Là encore, c’est le pilote FastRPC qui était défaillant.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
