Samsung : une faille permet de voler les mots de passe

le mardi 02 janvier 2018
Le constructeur Samsung a eu une mauvaise surprise pour cette fin d'année 2017 : une faille critique a été découverte sur ses smartphones et elle risque de toucher un grand nombre d'utilisateurs, surtout celles et ceux qui ont tendance à ne pas mettre à jour leurs appareils. D'ailleurs, faire des mises à jour régulières pourrait être une très bonne résolution pour 2018 (surtout qu'elle ne demande pas de grands efforts).

La faille, critique, est toutefois limitée à un service dont peu d'utilisateurs se servent : le navigateur Internet intégré dans les smartphones Samsung, Samsung Internet.

Le navigateur Internet de Samsung vulnérable


Le chercheur Mishra Dhiraj a découvert la faille critique en question en septembre 2017 et a prévenu Samsung dans la foulée. Il n'a logiquement rendu publique l'information qu'une fois que le premier constructeur de smartphones au monde lui a répondu et a pris les mesures nécessaires : un patch pour son navigateur Samsung Internet a été déployé en octobre 2017, donc toutes les personnes qui tiennent leurs appareils à jour devraient être protégées.

La faille est présente dans de nombreuses versions de Samsung Internet : toutes celles inférieures ou égales à la version 5.4.02.3 selon le chercheur. Si vous voulez connaître votre version pour savoir si vous êtes à jour ou si vous avez une version à risque, il suffit d'aller dans « réglages » puis « gestionnaire d'applications » et de sélectionner Samsung Internet dans la liste.



Une faille permettant de voler les données personnelles


Dans le billet posté sur son blog, Mishra Dhiraj explique que le navigateur intégré aux smartphones Samsung permet d'utiliser une technique connue des hackers pour tromper l'utilisateur. En fait, le navigateur autorise à contourner la Same-Origin Policy, une règle de sécurité qui interdit à une page web d'accéder aux scripts des autres pages.

Ainsi faisant, comme il le montre dans une vidéo postée sur Youtube le 14 décembre 2017, il suffit à un hacker de piéger une page avec des pop-ups : lorsque l'utilisateur insère ses données personnelles et ses identifiants, c'est la page piégée qui les récupère et non la page originale, Google dans la vidéo.

Modifié le 01/06/2018 à 15h36
scroll top