Le patch de sécurité d'Android pour le mois d'août corrige deux vulnérabilités touchant certains SoC de Qualcomm et qui permettaient d'accéder aux appareils mobiles via leur connexion sans fil WiFi et modem cellulaire.

Baptisée Qualpwn et découverte par Tencent Blade, l'équipe de sécurité du groupe chinois Tencent, elle pouvait créer des dépassements de mémoire tampon permettant un accès étendu aux appareils mobiles.

La vulnérabilité nécessitait que l'attaquant soit sur le même réseau WiFi que l'appareil ciblé, limitant la portée de l'action malveillante, mais elle permettait ensuite de le compromettre sans intervention de l'utilisateur.

Pixel 3a

Les deux vulnérabilités CVE-2019-10538 et CVE-2019-10540 ont été testées sur des smartphones Google Pixel 2 et Pixel 3, ce qui fait dire à ses auteurs que les SoC Snapdragon 835 et 845 sont concernés mais Qualcomm a depuis diffusé une liste de ses processeurs potentiellement concernés et ils sont nombreux, des anciens modèles aux tous derniers SoC annoncés (Snapdragon 855, 8CX, 710 / 712, 730, 675...).

Le patch du mois d'août referme les failles concernées et Qualpwn doit faire l'objet d'une présentation détaillée lors des événements Black Hat USA 2019 et DEFCON 27. Tout le problème sera maintenant d'assurer la diffusion du patch vers les appareils mobiles concernés.

Si les smartphones haut de gamme récents y auront droit, le sort des modèles plus anciens et/ou de milieu de gamme est beaucoup plus incertain et dépend de la volonté de suivi des fabricants.

Source : ZDNet.com