Des chercheurs de l’entreprise de cybersécurité Check Point ont découvert des centaines de failles dans les SoC Snapdragon de Qualcomm qui équipent 40 % des smartphones. Une application malveillante pourrait utiliser le microphone pour enregistrer l’utilisateur à son insu, accéder à ses messages, ses photos, ou installer un malware impossible à supprimer.

La complexité croissante de nos smartphones multiplie non seulement leurs fonctionnalités, mais également le nombre de vecteurs d’attaque. L’entreprise de cybersécurité Check Point s’est intéressée au centre névralgique des appareils mobiles, à savoir le processeur. Les chercheurs ont ainsi mis au jour plus de 400 failles dans les puces Snapdragon de Qualcomm, qui équipent plus de 40 % des smartphones sur le marché, et plus spécifiquement ceux équipés du système d’exploitation mobile Android.

Ces puces ARM sont couramment appelées processeurs, mais il s’agit en réalité d’un abus de langage. Le terme exact est SoC (System on a Chip) ou « système sur une puce ». Le SoC contient le processeur central avec ses multiples cœurs, mais également la mémoire cache, une puce graphique, ainsi que d’autres sous-systèmes qui gèrent la connexion de données, les technologies sans fil (Wi-Fi, Bluetooth), et bien d’autres.  

Les chercheurs se sont intéressés à un sous-système bien particulier, et rarement étudié, appelé DSP (Digital Signal Processor). Il s’agit d’un processeur spécialisé dans le traitement numérique d’un signal, et généralement décrit comme un ordinateur complet sur une puce. Dans les SoC Snapdragon, les DSP sont utilisés pour gérer la charge rapide, l’enregistrement de la vidéo, la réalité augmentée ou encore de nombreuses fonctions audio.

Le problème des DSP est leur fonctionnement en « boîte noire », rendant impossible l’analyse de leur fonctionnement en détail. Ils sont intégrés au SoC et fonctionnent grâce à un code que Qualcomm garde secret. Les applications qui utilisent les DSP sont construites avec les outils Hexagon SDK de Qualcomm. Ce sont les bugs dans ces outils qui ont permis aux chercheurs de détecter les nombreuses vulnérabilités.

Tous les smartphones équipés d’un SoC Snapdragon concernés

Parmi les centaines de failles ainsi dévoilées, les chercheurs ont découvert la possibilité d’allumer le microphone, d’enregistrer les appels, mais également de transmettre photos, vidéos et les coordonnées GPS, entièrement à l’insu de l’utilisateur. Des attaques ciblées peuvent mettre l’appareil complètement hors service, ou encore y intégrer des malwares impossibles à détecter et à supprimer. Qualcomm a indiqué avoir transmis des données aux constructeurs pour limiter l’impact de ces failles. Toutefois, l’écosystème Android étant très fractionné, de nombreux utilisateurs pourraient ne pas voir les mises à jour avant plusieurs mois, voire plusieurs années.

En parallèle des problèmes de sécurité des puces Qualcomm, des chercheurs chinois Sourcell Xu et Xin Xin ont découvert une faille « zero-day » dans le protocole Bluetooth des appareils Android. Baptisée BlueRepli, elle permet de se connecter à un smartphone en se faisant passer pour un appareil déjà connu. Le smartphone n’affiche alors aucune demande d’appairage, et l’utilisateur n’est pas averti de la connexion. Les pirates peuvent ainsi avoir accès aux contacts enregistrés sur l’appareil, le journal d’appels et même le contenu des SMS. Selon les chercheurs, il serait même possible d’envoyer des SMS à l’insu de l’utilisateur sur les appareils d’un constructeur en particulier, qu’ils ont préféré ne pas nommer.

Ces nouvelles failles montrent encore une fois à quel point il est important d’installer les mises à jour de sécurité pour les smartphones dès qu’elles sont disponibles, et d’éviter les applications qui ne sont pas nécessaires, surtout si elles ne proviennent pas d’une source de confiance comme le Play Store de Google.