Une faille très importante sur certains smartphones de Samsung (avec TouchWiz) était dévoilée hier. Un code USSD embarqué dans une page web était exécuté sans l’intervention de l’utilisateur. Certains codes ne sont pas dangereux comme l’obtention de l’IMEI, mais d’autres ont un effet dévastateur. En effet, la commande *2767*3855# supprime l’intégralité des données (un factory reset) sans même que l’utilisateur puisse annuler l’opération.

 

Ce problème est extrêmement important, car il peut se transmettre par une page web dans une frame, par SMS, en NFC ou via un QRCode. Samsung a été très réactif, car selon The Verge un correctif est déjà en cours de déploiement :

« Nous tenons à rassurer nos clients, car le récent problème de sécurité concernant le Galaxy S III a déjà été résolu par une mise à jour logicielle. Nous recommandons à nos clients possédant un GALAXY S III de télécharger la dernière mise à jour logicielle, ce qui peut être réalisé aisément et rapidement en OTA »

Nous espérons que les autres terminaux ne seront pas oubliés, car les conséquences sont dévastatrices.
En attendant, voici deux solutions :

- Utiliser l’application TelStop :

TelStop
Collin Mulliner

This is a quick fix for the TEL attacks described here [2]. TelStop publishes a TEL handler and will be invoked on every phone call the originates from a TEL URL. TelStop will only show itself if it sees a problem with the URL. You will only see the WARNING...

Télécharger
Gratuit
Disponible sur Google Play

- Installer un « dialer » tiers