Suport technique et veille technologique

LinuxFr.org : les journaux  -  Qualcomm corrige une faille critique dans des dizaines de puces Snapdragon

 -  Mai 2019 - 

Pour continuer sur les discussions autour d'Android du moment sur LinuxFR.

Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snapdragon-socs/

Traduction :

Des chercheurs du groupe NCC, une compagnie spécialisée dans la cybersécurité, ont découvert une vulnérabilité critique qui affecte des dizaines de puces Qualcomm utilisés dans les téléphones et tablettes Android.

D’après les rapports, pas moins de 46 puces Qualcomm, incluant les SD820, 835, 845, 855, 625, 636, 660, 670 sont probablement impactés par la vulnérabilité qui permet d’autoriser des attaquants potentiels à accéder à distance les données privées et les clés de chiffrement sur les machines utilisant ces puces.

Qualcomm a déjà fourni des correctifs pour ce bogue, donc il sera intéressant de voir combien de temps il faudra pour que les fabricants mettent en place ces correctifs pour les machines concernées.

Donc ça a l’air de concerner un paquet de téléphones. La faille en détails : https://www.nccgroup.trust/us/our-research/private-key-extraction-qualcomm-keystore/?research=Technical+advisories

La faille est exploitée par attaque par canaux cachés et vise la TrustZone, qui stocke notamment les empreintes digitales enregistrées pour le déverrouillage.

Dans un fil de discussion sur les forums xda-developers, à propos d’un modèle en particulier : https://forum.xda-developers.com/lenovo-p2/how-to/vulnerability-snapdragon-chipsets-t3924977

J’ai récemment découvert que Qualcomm a trouvé des vulnérabilités dans beaucoup de puces qui permettent d’accéder aux données et aux clés de chiffrement du téléphone, y compris le Snapdragon 835 & co. Il y a aussi le Snapdragon 625 dans la liste. Qualcomm est en train de fournir une mise à jour pour corriger ça.

Lenovo ne fournira jamais la mise à jour [NdT : le téléphone a reçu sa dernière mise à jour constructeur en 2017] et nous sommes sur des ROM personnalisées.
Y a-t-il un moyen pour appliquer cette mise à jour sur nos téléphones?

Réponse :

Probablement pas.

Chouette, hein ? Surtout quand on compte, comme moi, garder le téléphone encore des années parce qu’il est en parfait état de fonctionnement (et que les autres modèles, même nouveaux, sont justes moins bons et plus chers, hein ;-)). Quand on vous dit qu’on veut des micrologiciels libres qu’on peut mettre à jour nous-même pour pouvoir faire ce que vous ne souhaitez pas faire, ce n’est pas du pipeau, c’est du concret !

Bon, pour exploiter cette faille il faut exécuter du code sur la machine. Comme d’habitude, n’exécutez que du code et des applications en lesquelles vous avez confiance et essayez de ne pas perdre votre téléphone. Les plus paranos voudront peut-être ne pas enregistrer d’empreinte digitale dans leur téléphone.

Je ne peux pas m’empêcher d’y voir une porte d’entrée pour déjouer des DRM, qui reposent sur la sécurité de la TrustZone, et d’espérer que ça arrivera.

Commentaires : voir le flux atom ouvrir dans le navigateur

par raphj