Le fabricant de puces, le géant Qualcomm, a publié lundi des correctifs fixant une série de vulnérabilités dans des dizaines de puces, dont trois jours zéro que la société connaît peut être utilisé par des campagnes de piratage.
Qualcomm a cité le groupe d’analyse des menaces de Google, ou TAG, qui enquête sur les cyberattaques soutenues par le gouvernement, affirmant que les trois défauts «peuvent être sous une exploitation limitée et ciblée».
Selon le bulletin de la société, l’équipe de sécurité Android de Google rapporte les trois zéro-jours (CVE-2025-21479, CVE-2025-21480 et CVE-2025-27038) à Qualcomm en février. Les vulnérabilités de sécurité sont des vulnérabilités de sécurité qui ne sont pas connues pour le logiciel ou le fabricant de matériel au moment de leur découverte, ce qui les rend extrêmement précieux pour les cybercriminels et les pirates gouvernementaux.
Parce que la nature open source et distribuée d’Android, il appartient maintenant aux fabricants d’appareils d’appliquer les correctifs fournis par Qualcomm, ce qui signifie que certains appareils peuvent toujours être vulnérables pendant plusieurs semaines, malgré le fait qu’il existe.
Contact américain
Avez-vous plus d’informations sur ces zéro-jours Qualcomm? Maintenant d’autres fabricants de zéro-jour zéro-jour? À partir d’un dispositif et d’un réseau sans travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail.
Qualcomm a déclaré dans le bulletin que les correctifs « ont été mis à la disposition des (fabricants d’appareils) en mai avec une forte recommandation de déployer la mise à jour sur les appareils affectés dès que possible.
Le porte-parole de Google, Ed Fernandez, a déclaré à TechCrunch que les appareils de pixels de la société ne sont pas affectés par ces vulnérabilité Qualcomm.
Lorsqu’il est atteint par TechCrunch, un porte-parole de la balise de Google a maintenant fourni plus d’informations sur cette vulnérabilité et sur les circonstances dans lesquelles la balise les a trouvées.
Qualcomm n’a pas répondu à une demande de comment.
Les chipset trouvés dans les appareils mobiles sont des cibles fréquentes pour les pirates et les exploteurs zéro-jours devenus des puces ont généralement accès au reste du système opérateur, ce qui signifie que les pirates peuvent sauter de là vers d’autres parties de l’appareil qui peuvent contenir des données sensibles.
Au cours des derniers mois, il y a eu des cas documentés d’oplord contre les chipsets Qualcomm. L’année dernière, Amnesty International a identifié un qualcomm Zero-Day qui était utilisé par les autorités serbes, probablement en utilisant le fabricant d’outils de déverrouillage de téléphone Celibred.
