Google lève le voile sur le logiciel espion commercial ciblant des millions de téléphones Samsung.



L'équipe Project Zero de Google, qui trouve et analyse les failles de sécurité zero-day, a révélé qu'une société de surveillance commerciale anonyme a développé un logiciel espion qui exploitait trois vulnérabilités spécifiques aux téléphones Samsung équipés de SoC Exynos. Project Zero a réussi à obtenir un échantillon de la chaîne d'exploitation en 2020 et a signalé les trois vulnérabilités à Samsung. Le fabricant de téléphones a ensuite publié des correctifs pour ces vulnérabilités en mars 2021. Les utilisateurs de Samsung doivent s'assurer que leurs appareils mobiles exécutent SMR-(Samsung Mobile Security)-MAR-2021 ou une version ultérieure afin d'éviter une rencontre désastreuse avec un logiciel espion exploitant cette chaîne d'exploitation.







Les logiciels espions conçus par des sociétés de surveillance commerciales sont souvent vendus à des acteurs étatiques qui peuvent les déployer dans des attaques ciblées contre des dissidents politiques ou des ennemis étrangers. Au début de l'année, Google a publié une analyse d'un logiciel espion nommé "Hermit", développé par RCS Labs. Le fabricant de logiciels espions NSO Group a aussi souvent fait parler de lui pour son logiciel espion Pegasus, qui a été trouvé sur au moins neuf téléphones appartenant à des membres du département d'État américain. Ce type de logiciel d'espionnage commercial peut être incroyablement puissant, tirant souvent parti de multiples vulnérabilités de type "zero-day". La chaîne d'exploitation du logiciel espion ciblant les téléphones Samsung n'est pas différente.







L'analyse de cette chaîne d'exploitation par Project Zero a révélé qu'elle permettrait à une application contenant une charge utile malveillante de transmettre cette charge utile en dehors de la sandbox de sécurité contenant l'application, facilitant ainsi une attaque sur le système d'exploitation. Une telle attaque pourrait compromettre l'appareil infecté, le transformant en un appareil d'espionnage à l'insu de son propriétaire. Cependant, l'échantillon analysé par Google ne contenait pas la charge utile finale, et nous ne savons donc pas exactement ce que ferait un logiciel espion exploitant cette chaîne d'exploitation.



Les vulnérabilités exploitées dans la chaîne d'exploitation sont spécifiques aux téléphones équipés du SoC (system-on-a-chip) Exynos de Samsung et fonctionnant avec le noyau 4.14.113. Les appareils Samsung qui correspondraient à cette description au moment où Project Zero a découvert la chaîne d'exploitation comprennent la gamme Galaxy S10, ainsi que les A50 et A51. La réserve à cette liste d'appareils est que les téléphones Samsung de la famille Galaxy S vendus aux États-Unis portent les SoC Snapdragon de Qualcomm. Cependant, quel que soit le SoC alimentant les téléphones Samsung des utilisateurs, leurs appareils devraient maintenant être à l'abri de cette chaîne d'exploitation, tant qu'ils ont suivi les mises à jour de sécurité.



HOTHARDWARE