Les Samsung Galaxy effaçables à distance par HTML, SMS ou QR Code

1
Sécurité smartphone - Faille Samsung Galaxy

Si vous êtes l’heureux possesseur d’un téléphone Samsung Galaxy (tous modèles confondus), sachez qu’il existe actuellement une faille de sécurité qui permet d’effacer votre téléphone à distance. Celle-ci a été mise en évidence lors de la conférence annuelle sur la sécurité Ekoparty 2012.

Le site AndroidPolice indique que le problème touche en réalité Android, qu’il était connu depuis longtemps, et qu’il a déjà fait l’objet de correctifs. Mais certains appareils non mis à jour, dont plusieurs commercialisés par Samsung (mais pas exclusivement, des appareils HTC seraient aussi concernés), sont toujours vulnérables. Dans la plupart des cas, les Galaxy S3 ne sont pas concernés.

[youtube Q2-0B04HPhs nolink]

Tux-Planete explique le pourquoi du comment.

En effet, les fabricants de mobiles ont pour habitude d’utiliser des codes secrets (appelés également USSD) pour réinitialiser les téléphones en mode « paramètres usine ». Sur le Samsung Galaxy S3, le code par défaut est le suivant :

*2767*3855#

Jusqu’ici, rien de grave. Sauf qu’une faille de sécurité vient d’être mise en évidence sur le Samsung Galaxy S3. En effet, ce code peut-être envoyé à une victime de plusieurs manières :

  • par SMS en mode « Wap Push », qui est en faite un SMS cliquable qui permet d’activer une connexion Wap et d’être redirigé vers une page Internet
  • par QR Code via l’application QR Droid
  • par le protocole NFC qui à la fâcheuse habitude d’ouvrir des urls par défaut

Le hic, c’est qu’aucune demande de confirmation n’est affichée sur l’écran de l’utilisateur, et le contenu du téléphone s’efface alors automatiquement en quelques secondes.

D’après Pau Oliva, on peut également exploiter cette faille à travers une page web, à l’aide d’une iFrame et du code HTML suivant :

<frame src="tel:*2767*3855%23" />

Ou encore de cette manière d’après Sven Vetsch:

<script>document.location="tel:*2767*3855%23";</script>

Une telle négligence fait un peu froid dans le dos. Il n’y a plus qu’à attendre les mises à jour.

Vidéo de l’exploit :

[youtube D-QfaDc1gLg nolink]

 

Sources : Numerama, Tux-Planete
Crédits image : FredZone

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.