Aujourd’hui c’est la journée de la faille !
Mais cette fois, en voici une VRAIE ! (lol) Et elle se trouve dans tous les modèles de téléphone Samsung suivants : Galaxy Beam, S Advance, Galaxy Ace, Galaxy S II et le petit dernier Galaxy SIII
Pour vous la faire simple et rapide, Samsung a intégré dans son OS un code USSD qui permet en le tapant de tout simplement remettre à zéro le portable (config. usine). Rien d’étrange, c’est une pratique courante chez les constructeurs.
Sauf que…
Ce fameux code, comme le montre Ravi Borgaonkar est assez dangereux puisqu’il peut être poussé sur le téléphone de victimes innocentes soit via un SMS en mode WAP push (SMS cliquable), soit via une URL qui s’ouvrira directement sans demande de confirmation via un QR Code, ou via le NFC.
Aucune échappatoire possible donc ! Et bien sûr, une fois l’URL ouverte, le téléphone se réinitialise directement. Logiquement, on devrait « valider » ce code avant, mais Samsung a eu l’EXCELLENTE idée d’en faire une validation automatique. Clap clap clap !
Ouch, ça fait mal !
Comme l’explique l’ami Tux Planet sur son site, un simple script ou iFrame planqué dans une page, peut activer ce code. (Edit : je suis obligé de pêter le code ci-dessous car Appy Geek qui relaie mes news l’exécute … dommage :-/ )
Espérons que la mise à jour Jelly Bean qui arrive corrige cela urgemment, car on va bien se marrer en surfant sur le net dans les jours à venir avec nos téléphones.