Samsung ou à chacun sa faille de sécurité. Celle là est trop bonne

En voici une VRAIE  et bien énorme. Elle se trouve dans tous les modèles de téléphone Samsung suivants : Galaxy Beam, S Advance, Galaxy Ace, Galaxy S II et le petit dernier Galaxy SIII

Pour vous la faire simple et rapide, Samsung a intégré dans son OS un code USSD qui permet en le tapant de tout simplement remettre à zéro le portable (config. usine). Rien d’étrange, c’est une pratique courante chez les constructeurs.

Sauf que…

Ce fameux code, comme le montre Ravi Borgaonkar est assez dangereux puisqu’il peut être poussé sur le téléphone de victimes innocentes soit via un SMS en mode WAP push (SMS cliquable), soit via une URL qui s’ouvrira directement sans demande de confirmation via un QR Code, ou via le NFC.

Aucune échappatoire possible donc ! Et bien sûr, une fois l’URL ouverte, le téléphone se réinitialise directement. Logiquement, on devrait « valider » ce code avant, mais Samsung a eu l’EXCELLENTE idée d’en faire une validation automatique. On applaudis des 2 mains ce choix superbe de leur part

Un simple script ou iFrame planqué dans une page, peut activer ce code.

  • <frame src="tel:*2767*3855%23" />
  • <script>document.location="tel:*2767*3855%23";</script>

Espérons que la mise à jour Jelly Bean qui arrive corrige cela urgemment, car sinon on va bien se marrer en surfant sur le net dans les jours à venir avec nos téléphones. Certes les acheteurs d’iPhone font la queue mais pas de risque dans leur surf, les acheteurs de Samsung peuvent acheter vite fait mais attention pas trop de surf par peur du méchant loup.

source : Korben.info

No comments yet... Be the first to leave a reply!

Laisser moi votre sentiment....

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s