Depuis le Galaxy S4, Samsung utilise pour son clavier par défaut les technologies du clavier tiers SwiftKey. Selon des chercheurs en sécurité, ce dernier serait victime d’une grave faille de sécurité, capable de compromettre la sécurité des Galaxy S4, S5 et S6 et peut-être même d’autres terminaux de la marque.

NowSecure

Depuis le Galaxy S4 en 2013, Samsung utilise les technologies SwiftKey pour son clavier maison. SwiftKey est donc intégré de base, non pas comme une application, mais directement au sein de TouchWiz. Samsung modifie légèrement le fonctionnement du clavier ainsi que son thème, mais le moteur de prédiction est basé sur SwiftKey. L’application tierce, disponible sur le Play Store, n’a aucun problème de sécurité. En revanche, la variante de Samsung livrée sur les Galaxy S4, S5 et S6 (et tous les terminaux TouchWiz utilisant les technologies SwiftKey de manière native) est victime d’une faille de sécurité assez importante. Les ingénieurs de l’entreprise NowSecure ont en effet réussi à accéder à de nombreuses données issues d’un mobile touché par la faille : accès aux divers capteurs, aux données personnelles, possibilité d’installer un virus, d’espionner les conversations téléphoniques, etc. Bref, un accès presque total à l’ensemble des fonctions du téléphone.

Une faille pas encore colmatée

Samsung est au courant de cette faille depuis le mois de novembre 2014 et a commencé à déployer des mises à jour pour la colmater auprès des opérateurs. Toutefois, il n’est pas certain que l’ensemble des terminaux des opérateurs depuis le Galaxy S4 soit à l’abri. L’entreprise NowSecure précise ainsi que Galaxy S4 Mini de l’opérateur américain AT&T est vulnérable, tout comme le Galaxy S6 de Verizon et Sprint. Les ingénieurs conseillent donc de se renseigner auprès de son opérateur afin de savoir si le patch a été déployé. Une information la plupart du temps très délicate à obtenir. Samsung n’a pas précisé si le patch avait été déployé sur tous les terminaux hors opérateur depuis le Galaxy S4 via une mise à jour OTA.

Une attaque ingénieuse

Pour réduire le risque, NowSecure conseille d’éviter les connexions Wi-Fi non sécurisées ou inconnues ou d’utiliser un autre terminal mobile. Le fait de désactiver le clavier Samsung n’a aucune incidence puisqu’il n’est jamais vraiment désinstallé (c’est tout simplement impossible) et il est alors toujours possible pour les pirates de l’utiliser afin d’accéder au téléphone. Pour les plus curieux, les ingénieurs ont décrit dans un post de blog la manière dont l’attaque se déroule. Elle est assez « simple » puisqu’elle utilise le mécanisme de mise à jour du clavier, qui profite des accès du compte user system, comparables aux permissions root. L’attaque requiert tout de même une certaine expertise puisqu’il faut temporairement rediriger le trafic sortant de l’appareil.