Les téléphones intelligents de 11 marques connues sont vulnérables à une injection de code via câble USB

Des chercheurs ont publié un livre blanc sur les résultats d'une étude concernant les commandes AT supportées par les appareils Android modernes.

Les commandes AT (ATtention) sont un ensemble de chaînes de caractères courtes pouvant être combinées pour effectuer une série d'opérations sur des périphériques mobiles, notamment la numérotation, le raccrochage et la modification des paramètres de la connexion. Les commandes AT peuvent être transmises via des lignes téléphoniques et des modems de contrôle.

Les chercheurs ont analysé plus de 2 000 images de microprogrammes Android de 11 vendeurs Android (ASUS, Google, HTC, Huawei, Lenovo, LG, LineageOS, Motorola, Samsung, Sony et ZTE) et ont découvert que ces appareils supportent plus de 3 500 types de commandes AT. Presque tous les appareils acceptent les commandes AT via l'interface USB du téléphone même en mode chargement seulement.

Les attaquants peuvent abuser des commandes AT pour réécrire le micrologiciel du périphérique, contourner les mécanismes de sécurité Android, exfiltrer des informations sensibles du périphérique et effectuer d’autres activités malveillantes.

Néanmoins, pour pouvoir abuser des commandes AT, l'attaquant doit avoir un accès physique à l'appareil ou utiliser un composant malveillant sur un adaptateur USB ou un chargeur.

Cette vulnérabilité est toujours en cours d'analyse par les vendeurs et fabricants. Une liste des produits vulnérables à ce genre d'attaque est en cours de publication par l'équipe de recherche.

Il est éventuellement recommandé de mettre à jour régulièrement les appareils Android utilisés.