Si vous avez un smartphone Android, il est probable qu’il embarque une puce de marque Qualcomm ou MediaTek. La firme israélienne Check Point vient de publier trois énormes failles de sécurité qui visent de nombreux modèles de puces de smartphone. Cette faille de sécurité affecte les décodeurs audio de ces puces : exploitée correctement, elle permet à n’importe quel pirate d’accéder à distance à des fichiers ainsi qu’à un flux streaming des conversations audio.
Ce qui, à l’évidence, expose ces appareils à un risque accru de piratage et d’espionnage. Pire encore, prises ensemble ces failles permettent carrément d’exécuter du code arbitraire à distance. Tout ce qu’ont à faire les pirates est de construire un fichier audio malicieux et de conduire leur victime à le jouer. On imagine facilement comment, avec une pincée d’ingénierie sociale des acteurs malicieux peuvent conduire des cibles à ouvrir ce type de fichiers.
Ces trois nouvelles failles exigent de mettre à jour d’urgence votre smartphone
Surtout à l’heure où de nombreuses personnes préfèrent communiquer par messages audio enregistrés plutôt que par texte. Néanmoins les pirates ont également d’autres options encore plus discrètes pour exploiter ces failles, avec des conséquences potentiellement très inquiétantes. Check Point précise : “l’impact de la vulnérabilité RCE va de l’exécution de malware à la prise de contrôle des données multimédia d’un utilisateur – dont le streaming de la vidéo issue de la caméra de l’appareil. Par ailleurs, une application Android dénuée de privilèges est susceptible d’utiliser ces vulnérabilités pour monter en privilèges et obtenir l’accès à des données média ainsi que des conversations de l’utilisateur”.
Les trois failles, CVE-2021-0674, CVE-2021-0675 et CVE-2021-30351 résident pour l’essentiel dans un problème avec la version open source du codec ALAC (Apple Lossless Audio Codec). Ce format audio sans pertes, aussi appelé Apple Lossless, a été rendu open source par Apple en 2011. Qualcomm et MediaTek ont depuis implémenté le format dans leur décodeur matériel. Mais ces fabricants se basent pour cela sur une version qui n’a pas été mise à jour sur GitHub depuis 11 ans – puisque la dernière activité sur la page du codec date du 27 octobre 2011.
De son côté, Apple met continuellement à jour la variante propriétaire du codec. De sorte que les iPhone, iPad et Mac ne sont pas touchés par le problème. Qualcomm et MediaTek ont entre-temps pu colmater ces brèches dès décembre 2021. Néanmoins, tous les constructeurs de smartphones n’ont pas forcément, entre-temps, poussé des mises à jour correctives. D’autant plus pour les smartphones âgés de quelques années. Sans compter le fait que tous les utilisateurs Android ne sont pas susceptibles d’avoir appliqué les mises à jour disponibles.
Lire aussi – Cette gigantesque faille de sécurité met en danger la plupart des smartphones Android
Dans le doute, nous vous recommandons donc de bien vérifier que votre appareil est à jour – et de faire particulièrement attention avec les applications hors Play Store et les fichiers reçus dans les conversations, surtout si vous possédez un smartphone qui n’est plus couvert par les correctifs de sécurité du constructeur.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
La réponse est non !