Qualcomm : plus de 400 failles découvertes dans les SoC Snapdragon

Les fonctions liées au DSP des SoC de Qualcomm vulnérables à des attaques variées

 
Un groupe de chercheurs du cabinet spécialiste en sécurité ‘Check Point’ a identifié plus de 400 failles dans les SoC Snapdragon livrés au fil des ans par Qualcomm. Si le fabricant américain propose d’ores et déjà un patch capable de combler ces failles, Google ne l’a pas encore intégré à Android. En tout, plus d’un milliard de smartphones sont concernés par ces vulnérabilités.
Sale temps pour Qualcomm, qui a dû préparer en urgence un patch pour plus de 400 vulnérabilités découvertes sur ses puces Snapdragon // Source : Qualcomm

Un milliard. C’est le nombre de smartphones Android potentiellement concernés par les plus de 400 vulnérabilités découvertes par une équipe de chercheurs au sein des célèbres processeurs Snapdragon de Qualcomm. Ces failles, qui reposent pour l’essentiel sur les puces DSP (Digital Signal Processing) intégrées aux SoC du fabricant américain, peuvent être utilisées pour toute une variété d’attaques allant de l’écoute à distance, au vol de données photo et vidéo, en passant par la mise hors service d’un smartphone (rendu totalement inopérant).

Et pour ce faire, les méthodes sont également diverses : les hackers peuvent exploiter ces vulnérabilités au travers d’applications malveillantes ou par le biais de simples fichiers impliquant un calcul du DSP, comme une vidéo téléchargée par un utilisateur ciblé.

Les DSP introduisent « une nouvelle surface d’attaque et de nouveaux points faibles » en matière de sécurité

« Si les puces DSP constituent une solution relativement économique, qui permet aux téléphones mobiles d’offrir aux utilisateurs davantage de fonctionnalités, tout en permettant des fonctions innovantes, elles ont un coût », expliquent ainsi les chercheurs du cabinet Check Point, à l’origine de la découverte. « Ces puces introduisent une nouvelle surface d’attaque et des points faibles pour ces appareils mobiles. Les puces DSP sont beaucoup plus vulnérables, car elles sont gérées comme des ‘boîtes noires’. Il peut être très complexe pour toute personne autre que leur fabricant de revoir leur conception, leur fonctionnalité ou leur code », lit-on plus loin.

De manière concrète, les SoC (System on a Chip) regroupent divers composants sur une seule puce, comme un processeur, une partie graphique ou encore une partie DSP. Cette dernière est chargée de nombreuses tâches en lien avec le traitement vidéo et audio, ou encore la réalité augmentée, entre autres. Comme le précise Ars Technica, le DSP peut aussi être employé par les constructeurs de smartphones pour animer des applications impliquant des fonctionnalités spécifiques à leurs appareils. C’est cette partie des SoC Snapdragon qui est essentiellement pointée du doigt par les chercheurs de Check Point au travers de nombreuses vulnérabilités regroupées sous l’appellation « Achilles ».

Qualcomm a fait son job, Google traine à prendre le relai

« En ce qui concerne les vulnérabilités de Qualcomm Compute DSP révélées par Check Point, nous avons travaillé avec diligence pour résoudre le problème et mettre à la disposition des équipementiers les solutions appropriées. Nous n’avons aucune preuve que ces failles sont actuellement exploitées. Nous encourageons les utilisateurs finaux à mettre à jour leurs appareils au fur et à mesure que des correctifs sont disponibles et à n’installer que des applications provenant d’emplacements de confiance tels que le Google Play Store », a indiqué Qualcomm dans un communiqué.

Le fabricant californien semble donc avoir rempli sa part du contrat en proposant rapidement un correctif. Reste qu’au 8 août, Google n’avait pas encore intégré ce patch à Android. Une fois que Google aura rempli sa part du contrat, il faudra alors un nouveau délai pour que les constructeurs de smartphones déploient chacun de leur côté la mise à jour en question sur leurs différents terminaux. Un lent déploiement en trois étapes qui risque de nuire aux utilisateurs finaux.

D’après le rapport de Check Point, 40 % des appareils Android au monde sont actuellement équipés de puces Snapdragon. Environ 3 milliards de produits sont donc concernés par ces failles, dont plus d’un milliard de smartphones. Aux États-Unis, près de 90 % des appareils Android sont équipés de puces Snapdragon.


Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.

Les derniers articles