Pourquoi le Patch de Sécurité du Mois d’Août est essentiel

Hello les Mi Fans,
Edit : pour faire suite au poste de A Monkey In Winter : https://c.mi.com/thread-2347579-1-0.html

Le patch de sécurité d’Android pour le mois d’août corrige deux vulnérabilités touchant certains SoC de Qualcomm et qui permettaient d’accéder aux appareils mobiles via leur connexion sans fil WiFi et modem cellulaire.

Baptisée Qualpwn et découverte par Tencent Blade, l’équipe de sécurité du groupe chinois Tencent, elle pouvait créer des dépassements de mémoire tampon permettant un accès étendu aux appareils mobiles.
La vulnérabilité nécessitait que l’attaquant soit sur le même réseau WiFi que l’appareil ciblé, limitant la portée de l’action malveillante, mais elle permettait ensuite de le compromettre sans intervention de l’utilisateur.

Les deux vulnérabilités CVE-2019-10538 et CVE-2019-10540 ont été testées sur des smartphones Google Pixel 2 et Pixel 3, ce qui fait dire à ses auteurs que les SoC Snapdragon 835 et 845 sont concernés mais Qualcomm a depuis diffusé une liste de ses processeurs potentiellement concernés et ils sont nombreux, des anciens modèles aux tous derniers SoC annoncés (Snapdragon 855, 8CX, 710 / 712, 730, 675…).

Le patch du mois d’août referme les failles concernées et Qualpwn doit faire l’objet d’une présentation détaillée lors des événements Black Hat USA 2019 et DEFCON 27. Tout le problème sera maintenant d’assurer la diffusion du patch vers les appareils mobiles concernés.

Si les smartphones haut de gamme récents y auront droit, le sort des modèles plus anciens et/ou de milieu de gamme est beaucoup plus incertain et dépend de la volonté de suivi des fabricants.
De ce fait, il est important que tous les smartphones de la marque Xiaomi toujours dans les Rings de MAJ, reçoivent le patch de Sécurité du Mois d’Août courant de ce mois ou début Septembre.
Avec la sortie d’Android Q, de MIUI 11 et toutes les MAJ communes, les équipes de Dev de Xiaomi ont de quoi passer de longues nuits blanches !
Pour les plus curieux, la liste complète des vulnaribilités (en anglais) corrigées : https://source.android.com/security/bulletin/2019-08-01


Edit :
Pourquoi chez nous ce n’est pas grave et pourquoi cela fait un flan au US ?
Nous avons la chance en Europe d’avoir des forfaits à un cout moindre et assez généreux niveau data.Ce qui n’est pas le cas aux USA.De ce fait, les WiFi public sont assez nombreux (Strabucks, Magasins, Restaurant, Bars, Espace public…) En plus d’être non sécurisés, vous vous retrouvez donc sur un même réseau WiFi avec de nombreuses personnes.C’est là la problèmatique, outre les différentes méthodes de Hacking existante, cette faille en rajoute une portre d’entrée supplémentaire.Depuis des années c’est un sujet sensible ici et malgré cela rien n’est vraiment fait pour arranger la chose.Ici un vieux reportage de 2010 de CNN.


De ce fait, tant que vous vous ne connectez pas à un réseau Wifi public ou un réseau dit de ”confiance” vous n’avez pour le moment rien à craindre.

Source : 1 (Génération NT)

Le lien vers l’article de la Mi Community

https://c.mi.com/thread-2347621-1-0.html

Leave a Reply