Journal Qualcomm corrige une faille critique dans des dizaines de puces Snapdragon

Posté par  . Licence CC By‑SA.
Étiquettes :
24
8
mai
2019

Pour continuer sur les discussions autour d'Android du moment sur LinuxFR.

Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snapdragon-socs/

Traduction :

Des chercheurs du groupe NCC, une compagnie spécialisée dans la cybersécurité, ont découvert une vulnérabilité critique qui affecte des dizaines de puces Qualcomm utilisés dans les téléphones et tablettes Android.

D’après les rapports, pas moins de 46 puces Qualcomm, incluant les SD820, 835, 845, 855, 625, 636, 660, 670 sont probablement impactés par la vulnérabilité qui permet d’autoriser des attaquants potentiels à accéder à distance les données privées et les clés de chiffrement sur les machines utilisant ces puces.

Qualcomm a déjà fourni des correctifs pour ce bogue, donc il sera intéressant de voir combien de temps il faudra pour que les fabricants mettent en place ces correctifs pour les machines concernées.

Donc ça a l’air de concerner un paquet de téléphones. La faille en détails : https://www.nccgroup.trust/us/our-research/private-key-extraction-qualcomm-keystore/?research=Technical+advisories

La faille est exploitée par attaque par canaux cachés et vise la TrustZone, qui stocke notamment les empreintes digitales enregistrées pour le déverrouillage.

Dans un fil de discussion sur les forums xda-developers, à propos d’un modèle en particulier : https://forum.xda-developers.com/lenovo-p2/how-to/vulnerability-snapdragon-chipsets-t3924977

J’ai récemment découvert que Qualcomm a trouvé des vulnérabilités dans beaucoup de puces qui permettent d’accéder aux données et aux clés de chiffrement du téléphone, y compris le Snapdragon 835 & co. Il y a aussi le Snapdragon 625 dans la liste. Qualcomm est en train de fournir une mise à jour pour corriger ça.

Lenovo ne fournira jamais la mise à jour [NdT : le téléphone a reçu sa dernière mise à jour constructeur en 2017] et nous sommes sur des ROM personnalisées.
Y a-t-il un moyen pour appliquer cette mise à jour sur nos téléphones?

Réponse :

Probablement pas.

Chouette, hein ? Surtout quand on compte, comme moi, garder le téléphone encore des années parce qu’il est en parfait état de fonctionnement (et que les autres modèles, même nouveaux, sont justes moins bons et plus chers, hein ;-)). Quand on vous dit qu’on veut des micrologiciels libres qu’on peut mettre à jour nous-même pour pouvoir faire ce que vous ne souhaitez pas faire, ce n’est pas du pipeau, c’est du concret !

Bon, pour exploiter cette faille il faut exécuter du code sur la machine. Comme d’habitude, n’exécutez que du code et des applications en lesquelles vous avez confiance et essayez de ne pas perdre votre téléphone. Les plus paranos voudront peut-être ne pas enregistrer d’empreinte digitale dans leur téléphone.

Je ne peux pas m’empêcher d’y voir une porte d’entrée pour déjouer des DRM, qui reposent sur la sécurité de la TrustZone, et d’espérer que ça arrivera.

  • # Lenovo p2

    Posté par  . Évalué à 3.

    Juste pour bien comprendre, le lenovo p2 est supporté par Lineage OS (https://download.lineageos.org/kuntao)

    Dans ce cas la, on aura bien la mise a jour ?

    • [^] # Re: Lenovo p2

      Posté par  . Évalué à 3.

      Je ne pense pas, parce que LineageOS, si j'ai bien compris, ne met pas à jour le micrologiciel. Ça, c’est le fabriquant qui le fait.

      On aura juste les mise à jour de sécurité côté logiciel. D’ailleurs ça se voit dans dans Trust (https://lineageos.org/Trust-me/)

      • [^] # Re: Lenovo p2

        Posté par  . Évalué à 4.

        Effectivement c'est pas évident. Android en tant que système doit pouvoir quand même pousser quelques blobs par ci par là, en tant que driver de ces composants.

        En suivant le lien vers le nccgroup, on obtient un numero de CVE: CVE-2018-11976. Et ce numéro de CVE fait parti des vulnérabilités fixées lors de la mise de sécurité d'Avril: https://source.android.com/security/bulletin/2019-04-01

        Pour autant, ces fix sont marqués d'un astérisque qui explique le fix fait parti des driver binaries, et que pour les Pixel, il faut aller télécharger sur le site de chez Google.

        Et du coup, est ce que le mainteneur de lineageOS pour mon téléphone prend bien en charge ces nouveaux binaires, ca sincèrement je n'arrive pas a trouver l'info.

        • [^] # Re: Lenovo p2

          Posté par  . Évalué à 3.

          Si tu vas dans les paramètres > à propos du téléphone > version d’Android, tu as:

          • mise à jour du correctif de sécurité Android. Chez moi, ça affiche 5 avril 2019.
          • mise à jour du correctif de sécurité du fournisseur. Chez moi, ça affiche le 1 novembre 2017.

          Si ton mainteneur fait correctement son boulot et que le fournisseur fournit les correctifs de sécurité, la deuxième date devrait être récente.

          Sinon, ton mainteneur a aussi pu éventuellement mettre à jour certains binaires à partir d’autres téléphones (ça a été fait pour le mien à priori), mais là il y a certainement des problèmes de sécurités qui sont corrigés, et d’autres non.

          Pour ce correctif, j’ai l’impression qu’on ne peut pas vraiment repiquer les binaires d’un autre modèle comme ça.

          Tu peux essayer de demander au mainteneur, ou aller voir le dépôt contenant les binaires propriétaires pour ton téléphone. Pour le Lenovo P2, c’est là : https://github.com/TheMuppets/proprietary_vendor_lenovo/commits/lineage-16.0

          Il n’y a rien en avril, donc c’est mort pour ce téléphone à priori, et tout cas pour le moment.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.