Nouvelle faille sur les Samsung Galaxy SI, SII et S3
Sacrée période pour la sécurité des smartphones de la gamme Galaxy de chez Samsung. Après la découverte du 0day via la puce NFC du Samsung Galaxy S3, voici qu’une nouvelle faille vient perturber la sécurité d’Android sur les modèles Galaxy Beam, Galaxy S Advance, Galaxy Ace, Galaxy SII et Galaxy S3 !
Le résultat de cette faille ? Une remise à zéro complète du smartphone, comme en sortie d’usine. La cause ? Une faille dans les USSD, ces codes permettant de communiquer avec l’infrastructure réseau, le terminal ou la carte SIM. Comme dans de nombreux smartphones, Samsung a implanté ces codes sauf que là où le bat blesse, c’est que l’utilisation de ces codes se font sans aucune confirmation de l’utilisateur.
La faille peut être exploitée de plusieurs manières :
- via une page web contenant du code malicieux
- via la puce NFC qui ouvre une URL
- via un SMS de type « WAP » qui redirige également vers une URL
- via une application de lecture de QR Code qui ouvre automatiquement les URL lues.
Sachez tout de même qu’il y a quelques conditions pour que le code s’exécute. En effet, tous les navigateurs n’interprètent pas le code et se contentent d’afficher seulement du texte. De plus, la manipulation serait vouée à l’échec sur des versions plus récentes d’Android telle que Jelly Bean. Enfin, d’après Mr Borgaonkar, le type qui a découvert là faille, uniquement les smartphones de la gamme Samsung équipés de la surcouche Touchwiz seraient affectés par cette faille.
Que peut-on noter de cette découverte ? Plusieurs choses à vrai dire.
Obtention du numéro IMEI ? une utilisation normale des codes USSD
Premièrement, pouvoir réaliser une opération aussi cruciale qu’un reset d’un smartphone sans que l’utilisateur ne soit averti, ni demandé, c’est une aberration à mes yeux ! Des conséquences aussi fâcheuses qu’un reset devrait demander moultes confirmations auprès de l’utilisateur. Ensuite, la tendance qu’ont les applications tel que les lecteurs de QR Code et de puce NFC a ouvrir automatiquement ce qu’elles lisent. Encore une fois, c’est une porte ouverte vers des conséquences qu’on sous-estime parfois. Enfin, pourquoi les USSD peuvent-ils être exécutés depuis le Web ? C’est censé être un outil de type « Opérateur – Client », rien à voir avec le reste.Quoi qu’il en soit, possesseurs des appareils incriminés, c’est le moment ou jamais pour passer à la dernière version d’Android
Source : Tux-Planet, Image 1 et Image 2