Nouvelle recherche de Point de contrôle a découvert plus de 400 vulnérabilités dans la puce Snapdragon Digital Signal Processor (DSP) de Qualcomm qui, si elles sont exploitées, pourraient permettre aux pirates de prendre le contrôle de plus de 40% de tous les smartphones.
Un DSP est un système sur une puce qui est utilisé pour le traitement du signal audio et de l’image numérique dans un certain nombre d’appareils grand public, y compris les téléviseurs et les smartphones. Alors que les puces DSP apportent un certain nombre de nouvelles fonctionnalités et capacités aux appareils dans lesquels elles sont utilisées, elles introduisent également de nouveaux points faibles et élargissent la surface d’attaque d’un appareil.
Les vulnérabilités découvertes par Check Point ont de graves implications car les puces de Qualcomm se trouvent dans presque tous les Smartphone Android y compris les téléphones phares de Google, Samsung, LG, Xiaomi, OnePlus et d’autres fabricants de matériel.
En exploitant les vulnérabilités de la puce DSP de Qualcomm, un attaquant peut espionner les utilisateurs via leurs smartphones, rendre le téléphone mobile d’un utilisateur constamment insensible et créer des malware capable d’échapper à la détection.
Vulnérabilités de la puce DSP
Check Point a communiqué ses conclusions de manière responsable à Qualcomm et le fabricant de puces reconnaît les vulnérabilités, a notifié les fournisseurs de dispositifs et a attribué six des failles avec des listes CVE.
Qualcomm a déjà corrigé les six failles de sécurité affectant sa puce Snapdragon DSP, mais les fabricants de smartphones doivent encore implémenter et fournir des correctifs sur les appareils de leurs utilisateurs, ce qui signifie que de nombreux smartphones dans la nature sont toujours vulnérables aux attaques potentielles.
Dans un article de blog, Check Point a fourni des informations supplémentaires sur la façon dont il a découvert les vulnérabilités dans les puces DSP de l’entreprise, en disant:
«En raison de la nature« boîte noire »des puces DSP, il est très difficile pour les fournisseurs mobiles de résoudre ces problèmes, car ils doivent d’abord être résolus par le fabricant de puces. En utilisant nos méthodologies de recherche et nos technologies de test de fuzz à la pointe de la technologie, nous avons pu surmonter ces problèmes, nous donnant ainsi un aperçu rare des composants internes de la puce DSP testée. Cela nous a permis de revoir efficacement les contrôles de sécurité de la puce et d’identifier ses points faibles. »
Compte tenu de la gravité des vulnérabilités des puces DSP de Qualcomm, il est recommandé aux utilisateurs d’installer tous les correctifs ou correctifs potentiels dès qu’ils sont disponibles.
Un porte-parole de Qualcomm a contacté TechRadar Pro et a fourni la déclaration suivante à ce sujet:
«Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm. En ce qui concerne la vulnérabilité Qualcomm Compute DSP révélée par Check Point, nous avons travaillé avec diligence pour valider le problème et mettre les atténuations appropriées à la disposition des OEM. Nous n’avons aucune preuve qu’il est actuellement exploité. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que les correctifs sont disponibles et à n’installer les applications qu’à partir d’emplacements de confiance tels que le Google Play Store. «