Les anciennes versions de Samsung Internet Browser souffrent d’une grave faille de sécurité. Une mise à jour est donc vivement recommandée.

Le navigateur mobile de Samsung, intégré dans les terminaux Galaxy et installé sur des millions d’autres appareils, présente de graves problèmes de sécurité sur les versions 5.4.02.3 et précédentes. La vulnérabilité (CVE-2017-17692) permet à une personne malintentionnée d’injecter librement du code depuis un site web vers une autre page ouverte.

Bien que la faille n’ait été révélée que très récemment, sa découverte remonte à plusieurs mois. L’utilisateur et chercheur Dhiraj Mishra a documenté en septembre sur son blog la méthode d’outrepassement de la règle Same Origin Policy, qui autorise les pages d’un même domaine à interagir entre elles tout en empêchant normalement d’autres sites d’interférer. Sauf que l’instruction n’est pas inviolable : dans l’exemple le plus probant, le hackeur peut afficher un faux formulaire d’identification sur un site comme Google et récupérer les informations saisies, voire récupérer le cookie de connexion.

Lien YouTube S’abonner à FrAndroid

Fort heureusement, le fabricant sud-coréen a déjà colmaté la brèche. Dans une réponse adressée à l’auteur, les équipes de sécurité de Samsung l’ont remercié pour ce signalement et indiqué qu’un patch avait déjà été adressé dans les mises à jour suivantes. Les modèles Galaxy Note 8 et suivants ne sont pas concernés puisqu’ils intègrent de base le correctif. Les autres terminaux sur lesquels une version obsolète de l’application existe doivent être mis à jour via le gestionnaire d’applications dans les paramètres système ou directement depuis le Play Store.

Le gouvernement vient d’ailleurs rappeler aux utilisateurs d’effectuer impérativement cette mise à jour critique puisque ce processus d’exploitation est désormais intégré dans les outils d’intrusion informatique (MSF notamment).

À lire sur FrAndroid : Notre sélection des meilleurs navigateurs Internet sur Android