Faille USSD : les terminaux Samsung ne sont pas les seuls touchés

26 septembre 2012 à 11h54
0
La faille de sécurité initialement liée à certains terminaux Samsung, qui permet leur réinitialisation aux paramètres d'usine via un code USSD, pourrait toucher des smartphones d'autres marques selon l'expert en sécurité ayant révélé le problème. Le problème viendrait de mises à jour qui tarderaient à arriver sur les terminaux.

00FA000004962624-photo-android-malware-ver-worm-sq-gb-logo.jpg
Présentée par Ravi Borgaonkar à la conférence Ekoparty mardi, la manipulation a permis à l'expert en sécurité de réinitialiser un Samsung Galaxy S III en consultant un lien renvoyant vers un code USSD spécifique. D'apparence, la surcouche logicielle TouchWiz et le navigateur par défaut d'Android semblent faire partie des raisons qui rendent cet exploit possible : TouchWiz facilite son activation en autorisant automatiquement le lancement du code USSD, sans action supplémentaire de la part de l'utilisateur.

Néanmoins, depuis mardi, Ravi Borgaonkar a donné des informations complémentaires au site Security Watch, expliquant avoir découvert la faille il y a plusieurs mois et l'avoir révélé aux constructeurs et opérateurs en juin dernier. Le principal problème vient du fait que peu d'entre eux l'ont patché : l'expert cite Google et Samsung parmi les bons élèves, ce qui sous-entend que les terminaux achetés directement chez ces constructeurs sont normalement protégés. La firme sud-coréenne a d'ailleurs publié un communiqué expliquant que le Galaxy S III a déjà bénéficié d'un correctif, et encourage ses possesseurs à mettre leur appareil à jour. Un patch pour le Galaxy S II est actuellement sur les rails.

« J'ai décidé de rendre la faille publique parce que tout le monde la connaît mais ne fait rien depuis des mois » a déclaré Ravi Borgaonkar. « C'est le devoir des distributeurs de proposer des appareils qui sont sûrs pour tous. »

Une page de test et un début de solution

Sur Twitter, Ravi Borgaonkar propose un lien permettant de tester son terminal Android pour savoir s'il est à risque. « Si vous voyez votre IMEI, vous devez mettre à jour votre appareil » explique l'expert. Ce test, disponible à l'adresse http://www.isk.kth.se/~rbbo/testussd.html - il faut s'y rendre depuis un smartphone - a permis à des mobinautes de trouver la faille sur des smartphones HTC One X et One XL, notamment. Un HTC Desire sous Cyanogen Mod affiche également son numéro IMEI une fois le lien test activé.

Ravi Borgaonkar conseille non sans une pointe d'humour aux possesseurs d'un terminal à risque de se « déconnecter d'Internet ». L'expert conseille également l'installation de l'application TelStop de Collin Mulliner, déployée en urgence et destinée à bloquer les attaques par USSD. Une solution palliative en attendant que les opérateurs et les fabricants de mobiles comblent concrètement la faille eux-mêmes.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
Découvrez la 2CV R-Fit 100% électrique, conçue en rétrofit
Une usine de production de cellule de batteries pour véhicules électriques bientôt en France ?
La Lucid Air surpasse la Tesla Model S avec une autonomie annoncée supérieure à 800 km
Des experts en sécurité inquiets à l'approche de la présentation du premier prototype Neuralink d'Elon Musk
Le processeur Kunpeng 920 d'Huawei rattraperait le Core i9-9900K d'Intel
Horizon Zero Dawn : le portage PC critiqué pour ses nombreux bugs
Xiaomi Mi 10 Ultra : une édition anniversaire qui veut
Delage dévoile un hypercar hybride à 2,3 millions de dollars
Elon Musk envisage la construction d'un Cybertruck plus petit pour l'Europe
scroll top