Android : des failles dans les SoC Snapdragon permettent de pirater des millions de smartphones

Deux vulnérabilités découvertes dans les SoC Qualcomm Snapdragon compromettent la sécurité de millions de smartphones Android. Elles sont toutes liées à la puce WiFi (Wlan) et permettent à des hackers d’accéder au Kernel d’Android à distance.

Des millions de smartphones Android affectés par une faille Qualcomm

Google et Qualcomm viennent de déployer deux patchs de sécurité qui corrigent des failles critiques liées aux processeurs Snapdragon. Les deux vulnérabilités baptisées QualPwn par la société de sécurité Tencent Blade qui les a découvertes permettent aux pirates de compromettre le Kernel d’Android à distance.

QualPwn : Google et Qualcomm corrigent deux vulnérabilités affectant des smartphones Android

Le piratage n’est possible que sur de courtes distances, l’attaquant et la victime devant être connectés sur le même réseau WiFi. Les failles QualPwn sont toutefois exploitables sans aucune interaction de la part de l’utilisateur. Ce dernier n’a donc aucun moyen d’éviter les attaques y afférentes. Les deux vulnérabilités sont présentées dans le bulletin de sécurité d’Android du mois d’août 2019.

Baptisées CVE-2019-10538 et CVE-2019-10540, elles sont liées au composant WiFi et au Modem des SoC de Qualcomm, mais aussi au noyau d’Android. Les deux failles permettent d’exécuter du code malveillant sur le smartphone de la victime grâce à des privilèges élevés. Les chercheurs de Tencent Blade affirment les avoir testés sur les Google Pixel 2 et Pixel 3 équipés respectivement des processeurs Snapdragon 835 et 845. Mais Qualcomm précise dans un communiqué que plus de modèles sont concernés, allant de vieilles puces au récent Snapdragon 855.

« Qualcomm Technologies a déjà fourni des correctifs aux OEM, et nous encourageons les utilisateurs finaux à mettre à jour leurs appareils à mesure que les correctifs sont déployés par les constructeurs », a également indiqué la société. Quant au patch de sécurité d’Android, il est déjà en cours de déploiement sur les Google Pixel. Pour les autres marques, il va falloir patienter un peu plus comme d’habitude, sauf pour le OnePlus 7 Pro qui a déjà reçu la mise à jour de sécurité du moins d’août. Nous ignorons toutefois si elle tient comme du correctif appliqué au firmware des puces Qualcomm.

Source : Tencent Blade

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…

NordVPN : des faux sites propagent un dangereux malware bancaire

Des pirates profitent de la popularité de NordVPN pour diffuser Win32.Bolik.2, un malware bancaire sur l’ordinateur de leurs victimes. Des faux sites, imitant à la perfection l’interface de celui de NordVPN, propagent en effet des versions vérolées du célèbre VPN. Une…

Impots.gouv : environ 2000 comptes victimes d’un piratage

Les comptes impots.gouv d’environ 2000 administrés ont subi un piratage : des pirates sont parvenus à accéder aux déclarations d’impôts et les modifier. Les agents de Bercy affirment avoir néanmoins pu reprendre rapidement le contrôle de la situation et avertir…

WhatsApp, Skype et Slack sont victimes d’une faille de sécurité

WhatsApp, Skype et Slack sont vulnérables. Ces trois logiciels reposent sur la technologie Electron, qui présente une importante faille de sécurité. Les développeurs ont été prévenus, mais ils font pour l’instant la sourde oreille et aucun correctif n’a été déployé…