Samsung - Une faille permet d'effacer à distance leurs téléphones

par Korben -

Aujourd’hui c’est la journée de la faille !

Mais cette fois, en voici une VRAIE ! (lol) Et elle se trouve dans tous les modèles de téléphone Samsung suivants : Galaxy Beam, S Advance, Galaxy Ace, Galaxy S II et le petit dernier Galaxy SIII

Pour vous la faire simple et rapide, Samsung a intégré dans son OS un code USSD qui permet en le tapant de tout simplement remettre à zéro le portable (config. usine). Rien d’étrange, c’est une pratique courante chez les constructeurs.

Sauf que…

Ce fameux code, comme le montre Ravi Borgaonkar est assez dangereux puisqu’il peut être poussé sur le téléphone de victimes innocentes soit via un SMS en mode WAP push (SMS cliquable), soit via une URL qui s’ouvrira directement sans demande de confirmation via un QR Code, ou via le NFC.

Aucune échappatoire possible donc ! Et bien sûr, une fois l’URL ouverte, le téléphone se réinitialise directement. Logiquement, on devrait “valider” ce code avant, mais Samsung a eu l’EXCELLENTE idée d’en faire une validation automatique. Clap clap clap !


Ouch, ça fait mal !

Comme l’explique l’ami Tux Planet sur son site, un simple script ou iFrame planqué dans une page, peut activer ce code. (Edit : je suis obligé de pêter le code ci-dessous car Appy Geek qui relaie mes news l’exécute … dommage :-/ )

  •   < f r a m e src="tel:*2767*3855%23" />
    
    • ~~document.location="tel:*2767*3855%23"; s c r i p t>~~
      

Espérons que la mise à jour Jelly Bean qui arrive corrige cela urgemment, car on va bien se marrer en surfant sur le net dans les jours à venir avec nos téléphones.

Photo

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus