Des vulnérabilités affectent les modems 5G de centaines de smartphones

Le groupe de cybersécurité ASSET (Automated Systems SEcuriTy) de l’Université de technologie et de design de Singapour a dévoilé, début décembre 2023, 14 vulnérabilités touchant des modems 5G. Baptisées 5Ghoul, cette famille de failles affecte les micrologiciels de ces modems, notamment ceux des deux principaux constructeurs du marché, l’américain Qualcomm et le taïwanais MediaTek.

Sur ces quatorze vulnérabilités, douze sont nouvelles, dix affectent les modems des deux fabricants et trois sont jugées critiques. Les chercheurs ont identifié deux autres failles, qu’ils n’ont pas révélées, car elles ne disposent pas encore de correctifs. L’ensemble de ces vulnérabilités affecte un large éventail de produits utilisant des modems 5G, dont des smartphones, des routeurs CPE et des modems USB.

ASSET estime notamment qu’au moins 714 modèles de smartphones sont concernés. « Le nombre réel de modèles affectés pourrait être plus élevé, car le code du micrologiciel est souvent partagé entre différentes versions de modem », précisent les chercheurs. Un exploit de ces failles peut perturber la connectivité 5G de l’appareil, en la brouillant ou en la faisant rétrograder vers la 4G ou la 3G.

Qualcomm et MediaTek ont livré à leurs clients des correctifs, voici respectivement six et deux mois. Les dernières mises à jour de sécurité d’Android les prennent donc en compte.