Table des matières:
- Qu'est-ce que QualPwn?
- Qu'est-ce qu'un WLAN?
- Est-ce que QualPWN a été corrigé?
- Quels appareils sont affectés?
- QualPwn a-t-il été utilisé dans le monde réel?
- Que dois-je faire jusqu'à ce que je reçois le patch?
- Plus d'informations est à venir
- Obtenez plus de pixels 3
- Google Pixel 3
Votre téléphone est construit à partir d'une multitude de pièces, et beaucoup d'entre elles sont "intelligentes" et possèdent leurs propres processeurs et micrologiciels intégrés. Cela signifie qu'il y a beaucoup d'endroits où trouver des bogues ou des vulnérabilités permettant à un mauvais acteur d'avoir accès à des choses qu'il ne devrait pas. Les sociétés qui fabriquent ces pièces essaient toujours d'améliorer et de durcir les choses pour les empêcher, mais il leur est impossible de tout trouver avant qu'un composant ne quitte le laboratoire et finisse sur la chaîne de montage.
La plupart des exploits sont corrigés avant que quiconque sache qu’ils existent, mais certains le passent.
Cela fait de la recherche de ces bugs et vulnérabilités une industrie à part entière. Sur DEFCON 27 et Black Hat 2019, de grandes salles où les exploits sont rendus publics et démontrés (et, espérons-le, corrigés), une vulnérabilité dans les puces Qualcomm a été annoncée par l'équipe Tencent Blade Team qui permettrait à un attaquant d'accéder au noyau et potentiellement entrer dans votre téléphone et causer des dommages. La bonne nouvelle est que l'annonce a été faite de manière responsable et que Qualcomm a collaboré avec Google pour résoudre le problème avec le Bulletin de sécurité Android d'août 2019.
Voici tout ce que vous devez savoir sur QualPwn.
Qu'est-ce que QualPwn?
En plus d’être un nom amusant, QualPwn décrit une vulnérabilité dans les puces Qualcomm qui permettrait à un attaquant de compromettre un téléphone via le réseau local sans fil (WLAN) et le modem cellulaire à distance. La plate-forme Qualcomm est protégée par Secure Boot, mais QualPwn défait Secure Boot et permet à un attaquant d'accéder au modem, ce qui permet de charger les outils de débogage et de contrôler la bande de base.
Une fois que cela se produit, il est possible qu'un attaquant puisse exploiter le noyau exploité par Android et obtenir des privilèges élevés - il peut alors accéder à vos données personnelles.
Nous n'avons pas tous les détails sur la manière dont cela se produirait ni sur la facilité, mais ceux-ci seront publiés lors des présentations Black Hat 2019 et DEFCON 27 de Tencent Blade.
Qu'est-ce qu'un WLAN?
WLAN signifie réseau local sans fil. Il s'agit d'un nom génial pour tout groupe de périphériques, y compris les téléphones mobiles, qui communiquent entre eux sans fil. Un réseau WLAN peut utiliser le Wi-Fi, le cellulaire, le haut débit, le Bluetooth ou tout autre type de réseau sans fil pour communiquer. C'est toujours un honeypot pour les personnes à la recherche d'exploits.
Étant donné que de nombreux types de périphériques peuvent faire partie d’un réseau local sans fil, il existe des normes très spécifiques concernant la création et la maintenance d’une connexion. Votre téléphone, y compris des composants tels que les puces Qualcomm, doivent intégrer et respecter ces normes. À mesure que les normes évoluent et que de nouveaux matériels sont créés, des bogues et des vulnérabilités dans la manière dont les connexions sont créées peuvent se produire.
Est-ce que QualPWN a été corrigé?
Oui. Le bulletin de sécurité Android d'août 2019 contient tout le code nécessaire pour appliquer des correctifs aux appareils concernés de Qualcomm. Une fois que votre téléphone reçoit le correctif d'août 2019, vous êtes en sécurité.
Quels appareils sont affectés?
L'équipe Tencent Blade n'a pas testé chaque téléphone avec une puce Qualcomm, mais uniquement avec les pixels Pixel 2 et 3. Ces appareils étant vulnérables, tous les téléphones fonctionnant sur les plates-formes Snapdragon 835 et 845 sont probablement concernés au minimum. Le code utilisé pour appliquer un correctif à QualPwn peut être appliqué à tout téléphone utilisant un processeur Qualcomm et Android 7.0 ou version ultérieure.
Jusqu'à ce que tous les détails soient publiés, il est prudent de supposer que tous les jeux de puces Snapdragon modernes devraient être considérés à risque jusqu'à ce qu'ils soient corrigés.
QualPwn a-t-il été utilisé dans le monde réel?
Cet exploit a été révélé de manière responsable à Google en mars 2019 et une fois vérifié, il a été transmis à Qualcomm. Qualcomm a averti ses partenaires et envoyé le code le corriger en juin 2019, et chaque partie de la chaîne a été corrigée du code utilisé dans le bulletin de sécurité Android d'août 2019.
Aucun cas d'exploitation de QualPwn dans la nature n'a été signalé. Qualcomm a également publié la déclaration suivante concernant le problème:
Fournir des technologies prenant en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm. Nous félicitons les chercheurs en sécurité de Tencent d’avoir utilisé les pratiques de divulgation coordonnées standard de l’industrie dans le cadre de notre programme de protection contre la vulnérabilité. Qualcomm Technologies a déjà publié des correctifs pour les OEM, et nous encourageons les utilisateurs finaux à mettre à jour leurs appareils dès que des correctifs sont disponibles.
Que dois-je faire jusqu'à ce que je reçois le patch?
Vous ne pouvez vraiment rien faire pour le moment. Les problèmes ont été signalés comme critiques par Google et Qualcomm et ont été corrigés rapidement. Vous devez donc attendre que la compagnie qui a fabriqué votre téléphone vous le renvoie. Le correctif est déjà disponible sur les téléphones Pixel, tels que les Pixel 2 et 3, ainsi que sur d’autres de Essential et OnePlus. D'autres, comme Samsung, Motorola, LG et d'autres, mettront probablement quelques jours à quelques semaines à passer au téléphone.
En attendant, suivez les mêmes pratiques recommandées que vous devriez toujours utiliser:
- Toujours utiliser un écran de verrouillage fort
- Ne suivez jamais un lien de quelqu'un que vous ne connaissez pas et en qui vous avez confiance
- Ne soumettez jamais de données personnelles à des sites Web ou à des applications auxquelles vous ne faites pas confiance.
- Ne donnez jamais votre mot de passe Google à d'autres personnes que Google
- Ne jamais réutiliser les mots de passe
- Toujours utiliser un bon gestionnaire de mot de passe
- Utilisez une authentification à deux facteurs chaque fois que vous le pouvez
Plus: Meilleurs gestionnaires de mots de passe pour Android en 2019
Ces pratiques n'empêcheront peut-être pas un exploit de cette nature, mais elles peuvent atténuer les dégâts si quelqu'un obtenait quelques informations personnelles. Ne facilite pas les choses pour les méchants.
Plus d'informations est à venir
Comme mentionné précédemment, l'équipe Tencent Blade publiera tous les détails concernant QualPwn lors des prochaines présentations à Black Hat 2019 et à DEFCON 27. Ces conférences sont centrées sur la sécurité des dispositifs électroniques et sont souvent utilisées pour détailler de tels exploits.
Une fois que Tencent Blade aura fourni plus de détails, nous en saurons davantage sur ce que nous pouvons faire pour limiter les risques avec nos propres téléphones.
Obtenez plus de pixels 3
Google Pixel 3
- Google Pixel 3 et 3 XL examen
- Meilleur Pixel 3 Cases
- Meilleurs étuis Pixel 3 XL
- Meilleurs protecteurs d'écran Pixel 3
- Meilleurs protecteurs d'écran Pixel 3 XL
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.