mardi 25 septembre 2012

Certains smartphones Samsung avec TouchWiz peuvent être effacés en une seule ligne de code !

Une simple ligne de code HTML envoyé à certains smartphones Samsung effectue un wipe complet.

TouchWiz est présent sur les smartphones de Samsung et permet au constructeur de se différencier par des fonctionnalités inédites (SBeam, SVoice…). Les ajouts et plus particulièrement Human UX ne font pas l'unanimité, mais grâce à l'ouverture d'Android, on peut s'en séparer très facilement.

Pour les possesseurs de Samsung qui restent sous TouchWiz, une très mauvaise nouvelle vient de nous parvenir : une faille de sécurité dévastatrice atteint les terminaux de la marque. Un code USSD embarqué sur une page web permet d'effacer entièrement votre téléphone, sans même que vous puissiez annuler l'opération.

Un code USSD (Unstructured Supplementary Service Data) est une fonctionnalité notamment utilisée par l'opérateur français Orange. En tapant par exemple le code #123# sur l'application téléphone, vous allez alors avoir accès au suivi conso. De nombreux autres codes existent propres à Android, mais aussi à Samsung.

Le code *2767*3855# est extrêmement dangereux, car il supprime l'intégralité de vos données (il fait un factory reset). La faille en question consiste à injecter dans une page web la balise frame src=”tel:2767*3855%23″. Dès que le téléphone interprète cette ligne de code, il est immédiatement lancé et l'opération n'est plus stoppable. Notez également que la chaîne peut être envoyée par SMS, en NFC ou en scannant un QR Code.

La liste des terminaux vulnérables n'est pas encore connue (les Galaxy S2 et S3 seraient touchés). Les résultats varient, car certains terminaux ouvrent l'application Téléphone et il faut valider pour que le code soit réellement exécuté. Sachant que Samsung propose plus de 150 terminaux sous Android, il s'agit d'une véritable bombe à retardement.

Lien Youtube

Si vous n'avez pas TouchWiz sur votre téléphone, la page web contenant ce code ne sera pas interprétée et n'aura donc pas les conséquences citées. Toutefois si vous avez un Samsung, ne surfez que sur des pages “sûres”, car un code USSD spécial pourrait même détruire la carte SIM.

Samsung travaillerait actuellement à un correctif, mais est-ce que des vieux terminaux seront aussi mis à jour ?

Source

Aucun commentaire:

Enregistrer un commentaire