Attaques Zero-Day ciblant les téléphones Google Pixel : Une réalité alarmante

Dans une révélation plutôt inhabituelle, des chercheurs en sécurité ont mis au jour l'exploitation de vulnérabilités Zero-Day par des hackers pour s'attaquer aux téléphones Google Pixel.

Google a lancé un avertissement de sécurité ce mardi concernant deux nouveaux bugs actuellement exploités. "Il semble que ces attaques soient limitées et ciblées," précise l'avertissement.

Cependant, il ne semble pas que les cybercriminels ou les espions numériques traditionnels aient utilisé ces vulnérabilités pour attaquer à distance les téléphones. C'est Daniel Micay, chercheur en cybersécurité et fondateur de GrapheneOS, un système d'exploitation basé sur Android axé sur la sécurité, qui a découvert ces failles. Selon GrapheneOS, ce sont des "entreprises de médecine légale" qui ont exploité ces vulnérabilités pour extraire des données des téléphones Pixel.

Le terme "entreprises de médecine légale" désigne souvent des fournisseurs aidant les forces de l'ordre à déverrouiller et récupérer des données sur des smartphones saisis. Dans ce cas, GrapheneOS a informé Geekit que "les vulnérabilités exploitées nous ont été signalées par plusieurs utilisateurs, y compris des personnes pouvant travailler dans ce secteur."

L'entreprise de médecine légale suédoise, MSAB, a semble-t-il publié une vidéo expliquant à ses clients comment contourner une application nommée "Wasted", qui permet à un propriétaire d'effacer à distance un téléphone Android après sa saisie.

GrapheneOS mentionne que la vidéo "a fourni suffisamment de contexte pour nous aider à le signaler à Google de manière très sérieuse, car elle constituait une preuve d'exploitation active. Cela a également aidé à confirmer les spéculations sur la manière dont ils exploitaient les appareils."

GrapheneOS ajoute : "Il est probable que MSAB ait réalisé que la vidéo en question, publiée dans le cadre de la promotion de leur produit, contribuerait à la correction des vulnérabilités, puisqu'ils l'ont rapidement supprimée de partout." Cependant, GraphaneOS a réussi à sauvegarder une copie de la vidéo et l'a partagée avec Geekit.

La première vulnérabilité, CVE-2024-29745, concerne le chargeur de démarrage de la ligne Pixel, qui charge le système d'exploitation dans la mémoire du téléphone. GrapheneOS explique que cette vulnérabilité peut permettre à un attaquant de déverrouiller un appareil et de le faire passer en mode fastboot, autorisant ainsi l'accès aux fichiers du téléphone Pixel via un ordinateur connecté en USB.

"Les entreprises de médecine légale redémarrent les appareils en état de Premier Déverrouillage en mode fastboot sur les Pixels et d'autres dispositifs pour exploiter des vulnérabilités, puis extraire la mémoire," ajoute GrapheneOS dans un tweet. Pour y remédier, Google prévoit de vider la mémoire du téléphone lors de l'entrée en mode fastboot. "L'USB n'est activé en mode fastboot qu'après avoir vidé la mémoire, bloquant ces attaques," ajoute GrapheneOS.

Pendant ce temps, la deuxième vulnérabilité, CVE-2024-29748, pourrait permettre à un attaquant "d'interrompre une réinitialisation d'usine déclenchée par une application d'administration de l'appareil." Cela suggère que la faille peut empêcher un propriétaire de Pixel d'effacer à distance son téléphone.

Sans entrer dans les détails, GrapheneOS ajoute que Google introduit seulement une "solution partielle" dans le firmware du téléphone pour corriger la deuxième vulnérabilité. Nous avons contacté GrapheneOS pour plus d'informations. En attendant, Google prévoit de déployer les correctifs pour résoudre les vulnérabilités à partir de ce vendredi.

MSAB n'a pas immédiatement répondu à une demande de commentaire.