Une faille critique découverte sur le Galaxy S3

Article écrit par Thibault le Tuesday 25 September 2012 à 22:41

C’est à l’Ekoparty, une conférence dédiée à la sécurité, que Ravi Borgaonkar a rendu publique une faille critique qu’il a découvert au sein du code du Samsung Galaxy S3. La faille permettrait à des personnes malveillantes de faire entrer le terminal dans un processus de restauration d’origine sans le consentement de son propriétaire.

Cette faille exploite le protocole USSD largement utilisé dans le monde de la téléphonie. Il est par exemple utilisé en France lorsqu’un utilisateur souhaite connaître son relevé de consommation en tapant une série de chiffre (#123# par exemple) dans l’application téléphone, ou encore d’agir sur la carte SIM du terminal en la désactivant par exemple en cas de vol.

Ravi Borgaonkar a découvert qu’en passant par ce protocole, il était donc possible d’ordonner à distance au terminal de procéder à un formatage d’usine sans que l’utilisateur puisse s’en rendre compte ou puisse l’en empêcher.

Cette attaque (démontrée et validée dans la vidéo qui suit) peut être diligentée à distance à partir d’un site internet mais également via NFC, SMS ou encore les QR code.

httpvh://www.youtube.com/watch?v=Q2-0B04HPhs

Selon Mr Borgaonkar, seuls les terminaux Samsung équipés de la surcouche Touchwiz seraient concernés par cette faille.



Leave a Reply

Your email address will not be published. Required fields are marked *