Faille, un code html peut effacer tout le contenu de certains Samsung !

Google Maps Indoor
Une petite ligne de code HTML envoyé à un Samsung équipé d’une TouchWiz, un sms « Wap Push », un QR code, une connexion NFC, ou un lien sur Twitter, et tout le contenu du Smartphone et toutes les paramètres s’envolent, sans demande de confirmation.



TouchWiz est présent sur la plupart des Smartphones du premier concurrent d’Apple qui permet à Samsung de se « différencier » par des fonctionnalités exclusive de la marque tels que SBeam, SVoice…

Cette faille découverte récemment par c0rnholio, de Silent Services, qui en a fait la démonstration lors de la conférence de sécurité Ekoparty 2012.

Il s’agit d’un code USSD secret, ces codes sont généralement utilisés pour l’envoi des informations via le réseau GSM. Comme la consultation du crédit disponible, ou l’activation de certaines options fourni par l’opérateur téléphonique GSM.
Le code (*2767*3855#) et a pu être utilisé pour révéler la faille, ça devra être secret, et ne peut être utilisé que par le constructeur. Cette manipulation fonctionne sur Galaxy S2, Galaxy Beam, Galaxy S Advence et Galaxy Ace.

Ce code peut être activé à l’insu de l’utilisateur, les problèmes de sécurité connu et liés au NFC, notamment sur la politique d’ouverture des liens, le clic sur un SMS wap push, sur un lien hypertexte présent dans une page web, un QR code ou un message via Twitter peuvent tous être la cause d’un dégât catastrophique pour un utilisateur du Smartphone.
Les spécialistes étonnaient lors de la conférence Ekoparty, avant de supprimer les données du Smartphone, il devrait y avoir une demande de confirmation, ce qui n’est pas le cas.

Afin d’éviter un tel risque et dans l’attente d’une correction par Samsung, Silent Services conseil l’utilisateur à se rendre dans les options de l’application de messages, puis dans les options de messages push, ensuite demander à l’application de demander systématiquement que faire à la réception d’un SMS wap push, et de faire attention des liens suivis et à leur origine.

Note importante (28/09/2012) :
MAJ: Samsung a rapidement réagi a ce bug, et le corrige via une Mise à jour qui es disponible déja depuis deux jours, pour les Galaxy S2 et les Galaxy S3, les autres modèles vont suivre dans les prochains jours. Alors pensez à faire la MAJ disponible via KIES ou directement via OTA.

Faille, un code html peut effacer tout le contenu de certains Samsung !
Rate this post

1 COMMENTAIRE

  1. ça c’est une faille facile et en simple HTML (code fram) ! Après le dévoilement de cette faille partout dans les sites de News il est dans l’intérêt de Samsoung de trouver une solution rapide sinon le nombre de victime ne cessera d’augmenter à partir d’aujourd’hui.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.