Les smartphones Samsung sont affectés par six vulnérabilités exploitées
Six vulnérabilités affectant les appareils mobiles Samsung ont été ajoutées au catalogue des vulnérabilités connues et exploitées de l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Samsung a corrigé toutes les vulnérabilités en 2021, mais il est fort probable qu'elles aient été exploitées par un fournisseur de logiciels espions commerciaux.
Les vulnérabilités comprennent : CVE-2021-25487, une lecture hors limites dans le pilote de l'interface du modem qui peut conduire à l'exécution d'un code arbitraire. L'avertissement de la base de données nationale des vulnérabilités (NVD) de la CISA la classe dans la catégorie "gravité élevée" sur la base du score CVSS, mais Samsung la classe dans la catégorie "gravité modérée". CVE-2021-25489 est une autre vulnérabilité décrite, une faille de chaîne de format de faible gravité dans le pilote de l'interface modem qui peut entraîner un déni de service (DoS).
Parmi les autres, citons CVE-2021-25394 et CVE-2021-25395, des bogues de gravité modérée de type "use-after-free" dans le pilote du chargeur MFC. Elles ont été corrigées par Samsung en mai 2021. Les deux autres vulnérabilités, CVE-2021-25371 et CVE-2021-25372, toutes deux de gravité modérée, affectent le pilote DSP et impliquent respectivement le chargement de fichiers ELF arbitraires et des accès hors limites. Samsung a corrigé ces vulnérabilités en mars 2021.
Aucun rapport public ne fait état de l'exploitation de ces vulnérabilités, mais il est probable qu'un éditeur de logiciels espions commerciaux en ait déjà tiré parti, Google soutenant cette affirmation en apportant la preuve que ces vulnérabilités ont été exploitées par un éditeur de logiciels espions commerciaux.
Google a cité un tweet de Maddie Stone, un chercheur du Google Project Zero, qui a confirmé que toutes les vulnérabilités de Samsung ont été identifiées dans le cadre de la même étude et ont été placées dans le tracker d'exploitation zero-day de Google pour 2021. Google a précédemment révélé des informations sur trois vulnérabilités comparables dans les téléphones Samsung avec des CVE 2021 qui ont été exploitées contre des appareils Android par un fournisseur de logiciels espions inconnu, même si elles étaient encore considérées comme des vulnérabilités de type "zero-day". Ces trois failles ont été corrigées en mars 2021.
Ce n'est pas la première fois que des marchands de logiciels malveillants ciblent les téléphones portables Samsung. Google a publié les détails de trois vulnérabilités liées aux téléphones Samsung avec 2021 CVE qui ont été exploitées par un fournisseur de logiciels espions inconnu en novembre 2022.
Les sources de cet article comprennent un article paru dans SecurityWeek.