Le gouvernement serbe a exploité Qualcomm zero-days pour déverrouiller et infecter les appareils Android avec un nouveau logiciel espion nommé « NoviSpy », utilisé pour espionner les militants, les journalistes et les manifestants.

L’une des failles Qualcomm liées aux attaques est CVE-2024-43047, qui a été marquée comme une vulnérabilité zero-day activement exploitée par Google Project Zero en octobre 2024 et a reçu un correctif sur Android en novembre.

Le logiciel espion, qui semble avoir été déployé par les autorités serbes, sur la base de ses communications, a été découvert par le Laboratoire de sécurité d’Amnesty International sur le téléphone d’un journaliste après que la police l’a rendu.

« En février 2024, Slaviša Milanov, un journaliste indépendant de Dimitrovgrad en Serbie qui couvre des sujets d’actualité d’intérêt local, a été amené dans un poste de police après un contrôle routier apparemment de routine », peut-on lire dans un rapport d’Amnesty International.

« Après la libération de Slaviša, il a remarqué que son téléphone, qu’il avait laissé à la réception du poste de police à la demande des policiers, agissait étrangement – les paramètres de données et wi-fi étaient désactivés. Conscient qu’il peut s’agir d’un signe de piratage informatique et conscient des menaces de surveillance auxquelles sont confrontés les journalistes en Serbie, Slaviša a contacté le Laboratoire de sécurité d’Amnesty International pour demander une analyse de son téléphone. »

Par la suite, les chercheurs ont fourni au Groupe d’analyse des menaces (TAG) de Google des artefacts d’exploitation, ce qui a permis de découvrir les failles du pilote DSP (Processeur de signal numérique) de Qualcomm (« adsprpc »), qui est utilisé pour décharger le traitement multimédia sur le cœur du DSP.

Bien que Google ne sache pas quelles vulnérabilités sont exploitées par NoviSpy, les preuves suggèrent que le logiciel espion utilise une chaîne d’exploitation pour contourner les mécanismes de sécurité Android et s’installer de manière persistante au niveau du noyau.

NoviSpy déployé en Serbie
Amnesty International rapporte que NoviSpy a été déployé par l’Agence serbe d’information sur la sécurité (BIA) et la police serbe après qu’un téléphone a été déverrouillé à l’aide des outils de déverrouillage Cellebrite lors de la garde physique des appareils.

Selon des preuves médico-légales sur des appareils falsifiés, les chercheurs pensent que Cellebrite a exploité Qualcomm zero-days pour déverrouiller les téléphones Android.

« Tout en menant des recherches pour ce rapport, le Laboratoire de sécurité a également découvert des preuves médico-légales menant à l’identification d’une vulnérabilité d’escalade de privilèges Android zero-day utilisée pour augmenter les privilèges sur l’appareil
un militant serbe », peut-on lire dans le rapport d’Amnesty International.

« La vulnérabilité, identifiée en collaboration avec des chercheurs en sécurité chez Androidmaker Google, a affecté de nombreux appareils Android utilisant des chipsets Qualcomm populaires ayant un impact sur des millions d’appareils Android dans le monde entier. »

Le logiciel espion communiquait avec des serveurs sur des plages d’adresses IP directement liées à BIA, tandis que les données de configuration des échantillons identifiaient une personne spécifique liée aux programmes antérieurs d’achat de logiciels espions du pays.

Les cibles comprennent des journalistes, des militants des droits de l’homme et des dissidents du gouvernement. Parmi les exemples spécifiques mentionnés dans le rapport d’Amnesty figurent le journaliste Slaviša Milanov, membre de l’ONG Krokodil, et trois militants.

Cependant, Amnesty affirme que des preuves techniques suggèrent que NoviSpy a été installé sur des dizaines, voire des centaines, d’appareils Android en Serbie au cours des dernières années.

En ce qui concerne le compromis initial, Amnesty International affirme que les artefacts récupérés indiquent une attaque sans clic exploitant les fonctionnalités d’appel Android telles que la voix sur Wifi ou la Voix sur LTE (VoLTE).

Ceux-ci étaient actifs sur les appareils compromis examinés, utilisés dans le cadre de l’appel Rich Communication Suite (RCS).

Amnesty International soupçonne que certains militants ont peut-être été ciblés à l’aide d’une vulnérabilité Android sans clic qui pourrait être exploitée en recevant des appels téléphoniques provenant de numéros de téléphone invalides à plusieurs chiffres, comme illustré ci-dessous.

Appels suspects qui auraient pu déclencher un exploit sans clic

Google trouve des failles dans Qualcomm
Le TAG de Google a reçu des journaux de panique du noyau générés par des exploits capturés par Amnesty International et a travaillé à rebours pour identifier six vulnérabilités dans le pilote adsprpc de Qualcomm, utilisé dans des millions d’appareils Android.

Les six défauts sont résumés comme suit:

  1. CVE-2024-38402: Un problème de comptage de références dans le pilote peut entraîner une exploitation use-after-free (UAF) et une exécution de code arbitraire dans l’espace noyau.
  2. CVE-2024-21455: Une gestion imparfaite de l’indicateur ‘is_compat’ permet de traiter les pointeurs contrôlés par l’utilisateur comme des pointeurs du noyau, créant des primitives arbitraires en lecture / écriture et conduisant à une élévation de privilèges.
  3. CVE-2024-33060: Une condition de concurrence dans ‘fastrpc_mmap_create’ expose le pilote à des vulnérabilités UAF, en particulier lors de la gestion des mappages de mémoire globaux, entraînant une corruption de la mémoire du noyau.
  4. CVE-2024-49848: Une erreur logique dans la gestion des mappages persistants provoque un scénario UAF lorsque les références aux mappages sont incorrectement libérées, fournissant un mécanisme de persistance.
  5. CVE-2024-43047: Le chevauchement des mappages de mémoire dans ‘fastrpc_mmap’ peut entraîner des références d’objet corrompues, entraînant potentiellement une corruption de la mémoire.
  6. Pas de CVE: Une validation incorrecte dans fastrpc_mmap_find fuit les informations d’espace d’adressage du noyau, permettant de contourner la randomisation de la disposition de l’espace d’adressage du noyau (KASLR).

Les chercheurs de Google ont confirmé l’exploitation de CVE-2024-43047 et émettent l’hypothèse que le reste a été exploité dans une chaîne d’attaques complexe.

Au moment de la rédaction de cet article, Qualcomm n’a pas publié de correctif pour CVE-2024-49848, bien que Google leur ait signalé le problème il y a 145 jours.

Google a également noté que Qualcomm avait retardé la mise à jour des correctifs CVE-2024-49848 et CVE-2024-21455 sur la période standard de l’industrie de 90 jours.

Breachtrace a contacté Qualcomm pour s’enquérir de l’état de ces six failles, et un porte-parole a fourni la déclaration ci-dessous:

« Le développement de technologies qui s’efforcent de prendre en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm Technologies », a déclaré Qualcomm à Breachtrace .

« Nous félicitons les chercheurs de Google Project Zero et du Laboratoire de sécurité d’Amnesty International d’avoir utilisé des pratiques de divulgation coordonnées. En ce qui concerne leur recherche de pilotes FastRPC, des correctifs ont été mis à la disposition de nos clients à partir de septembre 2024. Nous encourageons les utilisateurs finaux à appliquer les mises à jour de sécurité dès qu’elles sont disponibles auprès des fabricants d’appareils. »

En ce qui concerne CVE-2024-49848, Qualcomm a déclaré à Breachtrace qu’un correctif avait été développé et suivait son processus de divulgation, le bulletin de sécurité correspondant arrivant en janvier 2025.

En ce qui concerne la vulnérabilité qui n’a pas d’identifiant CVE, Qualcomm indique que le problème a été empaqueté avec le correctif CVE-2024-33060 en septembre 2024, et a donc été corrigé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *