Un chercheur en sécurité vient de faire une démonstration de la vulnérabilité de certains terminaux Android à une faille de sécurité permettant d’effacer le contenus de différents smartphones sous Android. Même si pour les besoins de la démonstration le chercheur utilise un terminal Samsung, d’autres marque de téléphone peuvent également être exploité.
Démonstration de la faille USSD Android
Comment savoir si son smartphone est vulnérable ? Rendez vous sur cette page avec votre smartphone, si votre numéro IMEI s’affiche votre smartphone est vulnérable.
>>>Tester mon smartphone (si le numéro IMEI s’affiche votre smartphone est vulnérable)
Comment fonctionne la faille USSD ? Un simple code HTML dans une page web execute sur les téléphones un code spécial qui execute certaines fonctions. En collant le code dans une page web, on va faire afficher afficher le code IMEI de son téléphone.
https://gist.github.com/3790440
Chaque téléphone dispose de ses propres codes de service, celui pour réinitialiser un S3 serait *2767*3855# (Merci à MacPlus)
Comment se protéger de cette faille USSD ? Installer l’application TelStop depuis Google Play pour être prévenu de toute tentative d’attaque. Vérifier également la disponibilité de mise à jour pour votre smartphone. (Sony vient de mettre à disposition une maj – reçu aujourd’hui pour le Xperia Mini Pro qui corrige cette faille). Bravo à Sony :), chez Samsung une mise à jour est disponible pour le S3. (En attente pour les autres terminaux)
Quels sont les terminaux vulnérables ?
Vous avez testé votre smartphone, donnez-nous les résultats dans les commentaires. N’hésitez pas à tweeter le résultat à @ecoconscient, nous ajouterons votre tweet sur la page
Faille USSD : les terminaux Samsung ne sont pas les seuls touchésLa faille de sécurité initialement liée à certains terminaux Samsung, qui permet leur réinitialisation aux paramètres d’usine via un code USSD, pourrait toucher des smartphones d’autres marques selon l’expert en sécurité ayant révélé le problème. Le problème viendrait de mises à jour qui tarderaient à arriver sur les terminaux.
Sources : Clubic ~ PCWorld
Dernière mise à jour le 29 décembre 2012 par francois