Failles zero-click sur Android : ce que les utilisateurs de Samsung doivent savoir

Failles zero-click sur Android : ce que les utilisateurs de Samsung doivent savoir

Une nouvelle vulnérabilité de type « zero-click » vient d’être révélée, ciblant les smartphones Samsung grâce à une faille critique désormais corrigée. Ce problème de sécurité, qui touchait la bibliothèque de décodage Monkey’s Audio (APE), offrait aux pirates une voie royale vers l’exécution de code malveillant sans intervention de l’utilisateur. Voici ce que vous devez savoir sur cette faille et les implications pour la cybersécurité des appareils sous Android.

Une faille critique : CVE-2024-49415

Qu’est-ce que la vulnérabilité CVE-2024-49415 ?

La faille en question, identifiée sous le code CVE-2024-49415 avec un score de gravité CVSS de 8,1, affectait les appareils Samsung utilisant Android dans ses versions 12, 13 et 14. Le problème résidait dans une erreur de type « out-of-bounds write » localisée dans la bibliothèque libsaped.so. Exploitée par des hackers, cette faille permettait l’exécution à distance de code malveillant.

Selon un avis publié par Samsung à l’occasion de sa mise à jour de sécurité mensuelle de décembre 2024, la vulnérabilité a été corrigée grâce à l’ajout d’une validation correcte à l’entrée. Ce correctif constitue une réponse essentielle pour les utilisateurs afin de sécuriser leurs appareils contre les attaques utilisant cette faille.

Le rôle de Google Project Zero dans cette découverte

C’est Natalie Silvanovich, chercheuse au sein du célèbre Google Project Zero, qui a mis en lumière cette vulnérabilité. Elle a indiqué que cette faille « zero-click » ne nécessitait aucun acte de l’utilisateur pour être exploitée. Ce type de menace est particulièrement redouté dans le domaine de la cybersécurité, puisqu’un simple message malveillant suffit pour initier l’attaque.

Silvanovich a également qualifié cette faille de « nouvelle surface d’attaque intéressante », car elle se montre fonctionnelle lorsque le service Google Messages est configuré pour les Rich Communication Services (RCS). Cette configuration est d’ailleurs celle par défaut sur les modèles récents tels que les Samsung Galaxy S23 et S24.

Comment fonctionne l’attaque zero-click ?

Une exploitation via les messages audio

Dans un scénario d’attaque réel, un pirate pourrait envoyer un fichier audio malveillant via l’application Google Messages. Lors de sa réception, le service chargé de la transcription RCS déclenche automatiquement le décodage du message, sans intervention de l’utilisateur. C’est à ce moment précis que l’exploitation s’amorce, augmentant le risque pour les utilisateurs avec cette configuration par défaut.

Le dysfonctionnement se situe plus précisément dans la fonction saped_rec, qui écrit dans un tampon mémoire de taille prédéfinie. Si un fichier APE possède une structure spécifique provoquant une surcharge significative de ce tampon, le processus médiatique de samsung.software.media.c2 peut alors planter, ouvrant la porte à d’éventuelles injections malveillantes.

Dispositifs concernés et correctifs disponibles

Cette faille impactait un large éventail de modèles Samsung récents exécutant Android. Heureusement, la mise à jour de sécurité de décembre 2024 déployée par Samsung a permis de combler cette faiblesse. Il est fortement recommandé aux utilisateurs de maintenir leurs appareils à jour afin de bénéficier des derniers patchs de sécurité, réduisant le risque d’exploitation par des cybercriminels.

Une autre vulnérabilité dans SmartSwitch

Un second vecteur d’attaque découvert

En plus de la faille CVE-2024-49415, Samsung a également corrigé une autre vulnérabilité élevée, référencée sous le code CVE-2024-49413. Cette faille concernait l’application SmartSwitch et pouvait permettre à un attaquant local d’installer des applications malveillantes en contournant la vérification des signatures cryptographiques.

Avec un score CVSS de 7,1, cette faiblesse représentait un risque important pour les utilisateurs d’applications tierces, notamment dans des scénarios impliquant une compromission locale. Il est important que les utilisateurs vérifient toujours l’origine des fichiers installés et appliquent immédiatement les mises à jour.

Conseils aux utilisateurs

Pour limiter les risques, il est conseillé de désactiver les fonctions RCS si elles ne sont pas utilisées, de télécharger les mises à jour de sécurité dès qu’elles deviennent disponibles, et d’utiliser des solutions de sécurité fiables contre les menaces similaires.

Chez CyberCare, nous vous aidons à protéger vos appareils et vos infrastructures grâce à des services avancés de surveillance continue et de réponse aux incidents. Veillez à rester vigilant face à ces menaces de plus en plus sophistiquées, et laissez-nous assurer la sécurité de vos environnements numériques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *