Samsung confirme un problème de sécurité critique pour des millions de personnes: Tout Galaxy produit après 2014 touché

Le constructeur sud-coréen de smartphones Samsung a publié cette semaine une mise à jour de sécurité pour corriger une vulnérabilité critique affectant tous les smartphones vendus depuis 2014.

La faille de sécurité réside dans la façon dont la version Android OS fonctionnant sur les appareils Samsung gère le format d’image Qmage personnalisé (.qmg), que les smartphones Samsung ont commencé à prendre en charge sur tous les appareils commercialisés depuis fin 2014.

Mateusz Jurczyk, chercheur en sécurité au sein de l’équipe de recherche de vulnérabilités Project Zero de Google, a découvert un moyen d’exploiter la manière dont Skia (la bibliothèque graphique Android) gère les images Qmage envoyées à un appareil.

Le bug peut être exploité sans interaction de l’utilisateur !

Jurczyk dit que le bug Qmage peut être exploité dans un scénario sans clic, sans aucune interaction de l’utilisateur. Cela se produit car Android redirige toutes les images envoyées vers un appareil vers la bibliothèque Skia pour traitement – telles que la génération d’aperçus miniatures – à l’insu de l’utilisateur.

Le chercheur a développé une démonstration PoC exploitant la vulnérabilité contre l’application Samsung Messages, incluse sur tous les appareils Samsung et responsable de la gestion des messages SMS et MMS.

Jurczyk a déclaré avoir exploité le bug en envoyant des messages MMS (SMS multimédias) répétés à un appareil Samsung. Chaque message tentait de deviner la position de la bibliothèque Skia dans la mémoire du téléphone Android, une opération nécessaire pour contourner la protection ASLR (Address Space Layout Randomization) d’Android.

Jurczyk dit qu’une fois que la bibliothèque Skia a été localisée en mémoire, un dernier MMS fournit la charge utile payload Qmage réelle, qui a ensuite exécuté le code de l’attaquant sur un appareil.

Le chercheur de Google indique que l’attaque a généralement besoin de 50 à 300 messages MMS pour sonder et contourner l’ASLR, ce qui prend généralement environ 100 minutes, en moyenne.

En outre, Jurczyk dit que même si l’attaque peut sembler bruyante, elle peut également être modifiée pour s’exécuter sans alerter l’utilisateur.

“J’ai trouvé des moyens d’obtenir un traitement complet des messages MMS sans déclencher un son de notification sur Android, donc des attaques totalement furtives pourraient être possibles”, a déclaré le chercheur de Google.

De plus, Jurczyk dit que bien qu’il n’ait pas testé l’exploitation du bug Qmage par d’autres méthodes en dehors du MMS et de l’application Samsung Messages, l’exploitation est théoriquement possible contre toute application fonctionnant sur un téléphone Samsung qui peut recevoir des images Qmage d’un attaquant distant.
Bug corrigé cette semaine

Le chercheur a découvert la vulnérabilité en février et a signalé le problème à Samsung. Le fabricant de téléphones sud-coréen a corrigé le bogue dans ses mises à jour de sécurité de mai 2020.

Le bogue est suivi comme SVE-2020-16747 dans le bulletin de sécurité Samsung et CVE-2020-8899 dans la base de données Mitre CVE.

D’autres smartphones ne semblent pas être impactés car seul Samsung semble avoir modifié le système d’exploitation Android pour prendre en charge le format d’image Qmage personnalisé – développé par la société sud-coréenne Quramsoft.

Le rapport complet de Jurczyk peut être consulté sur le site Project Zero sur le lien suivant : https://bugs.chromium.org/p/project-zero/issues/detail?id=2002

Au Maroc, cette mise à jour, à l’heure de l’écriture de cet article n’est pas encore déployée via le système OTA Updates de Samsung. On peut lire sur le site de Samsung queBien que nous fassions de notre mieux pour fournir les correctifs de sécurité dès que possible à tous les modèles applicables, le délai de livraison des correctifs de sécurité peut varier selon les régions et les modèles.

 


Posted

in

, ,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *