Google dit avoir des preuves qu’un fournisseur commercial de surveillance exploitait trois vulnérabilités de sécurité de type « zero-day » trouvées dans les nouveaux smartphones Samsung.

Les vulnérabilités, découvertes dans le logiciel personnalisé de Samsung, ont été utilisées ensemble dans le cadre d’une chaîne d’exploitation pour cibler les téléphones Samsung exécutant Android. Les vulnérabilités enchaînées permettent à un attaquant d’obtenir des privilèges de lecture et d’écriture du noyau en tant qu’utilisateur root, et finalement d’exposer les données d’un appareil.

La chercheuse en sécurité de Google Project Zero, Maddie Stone, a déclaré dans un article de blog que la chaîne d’exploitation cible les téléphones Samsung avec une puce Exynos exécutant une version spécifique du noyau. Les téléphones Samsung sont vendus avec des puces Exynos principalement en Europe, au Moyen-Orient et en Afrique, où se trouvent probablement les cibles de la surveillance.

Stone a déclaré que les téléphones Samsung exécutant le noyau concerné à l’époque incluent le S10A50 et A51.

Les failles, corrigées depuis, ont été exploitées par une application Android malveillante, que l’utilisateur a peut-être été amené à installer depuis l’extérieur de l’App Store. L’application malveillante permet à l’attaquant d’échapper au bac à sable de l’application conçu pour contenir son activité et d’accéder au reste du système d’exploitation de l’appareil. Seul un composant de l’application d’exploit a été obtenu, a déclaré Stone, donc on ne sait pas quelle était la charge utile finale, même si les trois vulnérabilités ont ouvert la voie à sa livraison éventuelle.

« La première vulnérabilité de cette chaîne, la lecture et écriture de fichiers arbitraires, était le fondement de cette chaîne, utilisée à quatre reprises et utilisée au moins une fois à chaque étape », a écrit Stone. « Les composants Java des appareils Android n’ont pas tendance à être les cibles les plus populaires pour les chercheurs en sécurité malgré leur fonctionnement à un niveau aussi privilégié », a déclaré Stone.

Google a refusé de nommer le fournisseur de surveillance commerciale, mais a déclaré que l’exploitation suit un schéma similaire aux récentes infections d’appareils où des applications Android malveillantes ont été utilisées à mauvais escient pour fournir de puissants logiciels espions nationaux.

Plus tôt cette année, des chercheurs en sécurité ont découvert Hermit, un Logiciels espions Android et iOS développé par RCS Lab et utilisé dans des attaques ciblées par des gouvernements, avec des victimes connues en Italie et au Kazakhstan. Hermit s’appuie sur la tromperie d’une cible pour qu’elle télécharge et installe l’application malveillante, telle qu’une application déguisée d’assistance aux opérateurs de téléphonie mobile, depuis l’extérieur de l’App Store, mais vole ensuite en silence les contacts, les enregistrements audio, les photos, les vidéos et les données de localisation granulaires d’une victime. Google a commencé à informer les utilisateurs d’Android dont appareils ont été compromis par Hermit. Le fournisseur de surveillance Connexxa a également utilisé applications malveillantes chargées de côté pour cibler à la fois les propriétaires d’Android et d’iPhone.

Google a signalé les trois vulnérabilités à Samsung fin 2020, et Samsung a déployé des correctifs sur les téléphones concernés en mars 2021, mais n’a pas révélé à l’époque que les vulnérabilités étaient activement exploitées. Stone a déclaré que Samsung s’est depuis engagé à commencer à divulguer lorsque les vulnérabilités sont activement exploitées, à la suite Pomme et Googlequi divulguent également dans leurs mises à jour de sécurité lorsque des vulnérabilités sont attaquées.

« L’analyse de cette chaîne d’exploitation nous a fourni de nouvelles informations importantes sur la façon dont les attaquants ciblent les appareils Android », a ajouté Stone, laissant entendre que des recherches supplémentaires pourraient découvrir de nouvelles vulnérabilités dans les logiciels personnalisés créés par les fabricants d’appareils Android, comme Samsung.

« Cela met en évidence la nécessité de poursuivre les recherches sur les composants spécifiques aux fabricants. Cela montre où nous devons faire une analyse plus approfondie des variantes », a déclaré Stone.