Faille USSD sur les smartphones Android : comment se protéger

Un chercheur en sécurité vient de faire une démonstration de la vulnérabilité de certains terminaux Android à une faille de sécurité permettant d’effacer le contenus de différents smartphones sous Android. Même si pour les besoins de la démonstration le chercheur utilise un terminal Samsung, d’autres marque de téléphone peuvent également être exploité.

Démonstration de la faille USSD Android

Comment savoir si son smartphone est vulnérable ? Rendez vous sur cette page avec votre smartphone, si votre numéro IMEI s’affiche votre smartphone est vulnérable.

>>>Tester mon smartphone (si le numéro IMEI s’affiche votre smartphone est vulnérable)

Comment fonctionne la faille USSD ? Un simple code HTML dans une page web execute sur les téléphones un code spécial qui execute certaines fonctions. En collant le code dans une page web, on va faire afficher afficher le code IMEI de son téléphone.

https://gist.github.com/3790440

Chaque téléphone dispose de ses propres codes de service, celui pour réinitialiser un S3 serait *2767*3855# (Merci à MacPlus)

Comment se protéger de cette faille USSD ? Installer l’application TelStop depuis Google Play pour être prévenu de toute tentative d’attaque. Vérifier également la disponibilité de mise à jour pour votre smartphone. (Sony vient de mettre à disposition une maj – reçu aujourd’hui pour le Xperia Mini Pro qui corrige cette faille). Bravo à Sony :), chez Samsung une mise à jour est disponible pour le S3. (En attente pour les autres terminaux)

Quels sont les terminaux vulnérables ?

@raviborgaonkar I can confirm, HTC One X & One XL are both vulnerable as well. Nexus 7 is not though.

— Kactus (@KactusOTP) September 26, 2012

Vous avez testé votre smartphone, donnez-nous les résultats dans les commentaires. N’hésitez pas à tweeter le résultat à @ecoconscient, nous ajouterons votre tweet sur la page

Faille USSD : les terminaux Samsung ne sont pas les seuls touchésLa faille de sécurité initialement liée à certains terminaux Samsung, qui permet leur réinitialisation aux paramètres d’usine via un code USSD, pourrait toucher des smartphones d’autres marques selon l’expert en sécurité ayant révélé le problème. Le problème viendrait de mises à jour qui tarderaient à arriver sur les terminaux.

Sources : Clubic ~ PCWorld

Dernière mise à jour le 29 décembre 2012 par francois

6 réflexions au sujet de “Faille USSD sur les smartphones Android : comment se protéger”

Hmz

25 septembre 2015 à 5:50

Rien à changer chez Sony z3 dual..tjr le même problème
Répondre
Hydr0mel

24 octobre 2012 à 12:49

J’ai testé avec le Samsung Galaxy Note 2.
Je n’ai pas pu voir mon numéro d’IMEI car Avast à bloqué le truc.
Répondre
- francois
  
  24 octobre 2012 à 12:51
  
  @Hydr0mel Merci pour l’info. @toto L’antivirus AVAST est donc à même de bloquer les attaques
  Répondre
toto

27 septembre 2012 à 1:49

TelStop ok… ca aurait été bien de savoir également (surtout ?) si les différents antivirus actuels (listés dans un précédent article sur ce site) sont efficaces à bloquer la faille ou non

AVG fait explicitement du filtrage de page web, est-ce que c’est suffisant ?
Est-ce qu’un Avast mobile peur bloquer ce type d’attaques web-based ?

Dommage…
Répondre
- francois
  
  27 septembre 2012 à 1:52
  
  @toto Dsl, nous n’avons pas eu la possibilité de tester la faille avec les différents antivirus. N’hésitez pas à les installer et à utiliser notre page de test pour voir si le téléphone est protégé.
  Répondre
- Hydr0mel
  
  24 octobre 2012 à 12:50
  
  Oui ^^
  Répondre

Laisser un commentaire Annuler la réponse

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.