La taille des smartphones dément souvent la puissance qu’ils détiennent ainsi que la complexité de leur construction. On peut dire que les smartphones proviennent de tel ou tel pays ou fabricant, mais la vérité est que les différentes pièces peuvent être retracées jusqu’à différentes sources et fournisseurs. Bien entendu, tous les smartphones ont de nombreux composants en commun, et les processeurs Snapdragon de Qualcomm reviennent souvent. Malheureusement, cela signifie aussi que lorsque cette puce s’avère avoir une vulnérabilité, elle met aussi en danger la majorité des smartphones du monde.
Lors de la dernière conférence DEF CON dédiée aux hackers, des chercheurs de la société de cybersécurité CheckPoint ont présenté une étude détaillée, affirmant que les puces DSP (Digital Signal Processor) des processeurs Snapdragon de Qualcomm comportent « plus de 400 vulnérabilités » qui constituent une menace massive pour les utilisateurs de téléphones portables dans le monde entier.
Les puces DSP permettent d’effectuer toute une série de tâches sur les smartphones, notamment le traitement d’images, la charge, l’audio, la vidéo, la réalité augmentée et d’autres fonctions multimédias. Les fabricants de smartphones peuvent également utiliser ces puces pour insérer leurs propres fonctionnalités qui fonctionneront comme des applications dédiées en plus du framework existant.
Un certain nombre de grands fournisseurs de smartphones, dont Samsung, Google, Xiaomi et d’autres, utilisent les puces de Qualcomm dans leurs appareils. Selon CheckPoint, plus de 40 % des appareils Android utilisent des puces Qualcomm. Il existe environ 3 milliards d’appareils Android dans le monde, ce qui signifie que ces risques touchent plus d’un milliard d’entre eux.
Checkpoint a fait part à Qualcomm des résultats de cette recherche, appelée « Achilles », au début de l’année, et le fabricant de puces a déjà publié un correctif pour les défauts. Dans un communiqué, Qualcomm a déclaré « En ce qui concerne la vulnérabilité du DSP de Qualcomm Compute révélée par Check Point, nous avons travaillé avec diligence pour valider le problème et mettre à la disposition des constructeurs les mesures d’atténuation appropriées. Nous n’avons aucune preuve qu’elle est actuellement exploitée. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que des correctifs sont disponibles et à n’installer que des applications provenant d’emplacements de confiance tels que le Play Store de Google ».
Pas encore de mesures prises
Toutefois, selon CheckPoint, Google n’a pas encore intégré le correctif dans le projet AOSP, et aucun des constructeurs concernés n’a encore mis en place les correctifs pour leurs appareils respectifs. Check Point Research a décidé de ne pas publier tous les détails techniques de ces vulnérabilités jusqu’à ce que les constructeurs de smartphones disposent d’une solution complète pour atténuer les risques décrits.
Vous pouvez en apprendre davantage sur le blog officiel de CheckPoint.
