Un chercheur en sécurité vient de faire une démonstration de la vulnérabilité de certains terminaux Android à une faille de sécurité permettant d’effacer le contenus de différents smartphones sous Android. Même si pour les besoins de la démonstration le chercheur utilise un terminal Samsung, d’autres marque de téléphone peuvent également être exploité.
Démonstration de la faille USSD Android
Comment savoir si son smartphone est vulnérable ? Rendez vous sur cette page avec votre smartphone, si votre numéro IMEI s’affiche votre smartphone est vulnérable.
>>>Tester mon smartphone (si le numéro IMEI s’affiche votre smartphone est vulnérable)
Comment fonctionne la faille USSD ? Un simple code HTML dans une page web execute sur les téléphones un code spécial qui execute certaines fonctions. En collant le code dans une page web, on va faire afficher afficher le code IMEI de son téléphone.
https://gist.github.com/3790440
Chaque téléphone dispose de ses propres codes de service, celui pour réinitialiser un S3 serait *2767*3855# (Merci à MacPlus)
Comment se protéger de cette faille USSD ? Installer l’application TelStop depuis Google Play pour être prévenu de toute tentative d’attaque. Vérifier également la disponibilité de mise à jour pour votre smartphone. (Sony vient de mettre à disposition une maj – reçu aujourd’hui pour le Xperia Mini Pro qui corrige cette faille). Bravo à Sony :), chez Samsung une mise à jour est disponible pour le S3. (En attente pour les autres terminaux)
Quels sont les terminaux vulnérables ?
@raviborgaonkar I can confirm, HTC One X & One XL are both vulnerable as well. Nexus 7 is not though.
— Kactus (@KactusOTP) September 26, 2012
Vous avez testé votre smartphone, donnez-nous les résultats dans les commentaires. N’hésitez pas à tweeter le résultat à @ecoconscient, nous ajouterons votre tweet sur la page
Dernière mise à jour le 29 décembre 2012 par francois
Rien à changer chez Sony z3 dual..tjr le même problème
J’ai testé avec le Samsung Galaxy Note 2.
Je n’ai pas pu voir mon numéro d’IMEI car Avast à bloqué le truc.
@Hydr0mel Merci pour l’info. @toto L’antivirus AVAST est donc à même de bloquer les attaques
TelStop ok… ca aurait été bien de savoir également (surtout ?) si les différents antivirus actuels (listés dans un précédent article sur ce site) sont efficaces à bloquer la faille ou non
AVG fait explicitement du filtrage de page web, est-ce que c’est suffisant ?
Est-ce qu’un Avast mobile peur bloquer ce type d’attaques web-based ?
Dommage…
@toto Dsl, nous n’avons pas eu la possibilité de tester la faille avec les différents antivirus. N’hésitez pas à les installer et à utiliser notre page de test pour voir si le téléphone est protégé.
Oui ^^