Si vous suivez l’actualité High Tech, vous avez dû croiser cette info il y a de ça quelques jours : des smartphones Samsung sous Android présentaient une faille permettant de les effacer à distance.
Un correctif a semble-t-il rapidement été publié, mais ce problème a dévoilé une grosse faiblesse sur la plupart des smartphones Android : l’interprétation automatique des codes USSD sur les smartphones Android permet de bloquer à distance la carte SIM, voir même de bloquer complètement le téléphone !
Comme pour la faille des smartphones Samsung, des chercheurs ont créé une page Web qui renvoie un code USSD verrouillant la carte SIM (normalement utilisé par les opérateurs pour verrouiller à distance une carte SIM).
Résultat : la carte SIM du téléphone est désactivée, et il devient nécessaire de saisir un code PUK pour la déverrouiller.
La faille ne se limite pas aux smartphones Samsung : le HTC One XL, le Motorola RAZR XT910 et le HTC Desire HD ont été testé comme étant sensibles à ce procédé.
L’ami Max a créé une page permettant de vérifier si votre téléphone est susceptible d’être sensible à ce genre de faille. Rendez-vous ici, et si une boîte de dialogue apparaît sur votre terminal, cela signifie que votre téléphone interprète automatiquement les USSD et qu’il est susceptible d’être vulnérable à cette faille.
Si c’est votre cas, je vous recommande de vérifier si des mises à jour ne sont pas disponibles pour votre téléphone, et si ce n’est pas le cas, d’installer l’application gratuite TelStop qui vous permettra de bloquer les commandes USSD, et d’afficher ce qui devait être exécuté sur votre téléphone.
Articles sur le même sujet :
- Une faille gênante permet d’effacer à distance les smartphones Android Samsung
- Faille de sécurité importante sur les téléphones HTC Android
- Comparatif des fabricants de smartphones sous Android au niveau des mises à jour
- Le code source de la version d’Android du Samsung Galaxy S3 a déjà été publié
- La dernière version d’Android peut tourner quasiment sur n’importe quel appareil
J’ai pu testé sur mon Xperia X10 (Android 2.2), cette faille est présente MAIS ne fonctionne qu’avec le navigateur de base. Utilisant Opera, ce navigateur bloque le USSD.
Idem avec un Xperia Play.
Encore que je ne sais pas pour Opera, il rame pour le moment et n’arrive pas à charger la moindre page.
Même faille avec Dolphin.
idem pour le ARC S…
Merci pour l’info.
Le Motorola Defy (2.2.2) est donc faillible si l’on en croit la page de test. (Quel que soit le browser utilisé)
Le Galaxy Nexus (4.1.1) rentre le code donné dans l’appli Téléphone et attends qu’on appuie sur le bouton de numérotation. (Avec Chrome à jour)
Pas de faille donc, sauf si on est un gros blaireau qui appelle n’importe quel numéro bizarre sans se poser de question
Arrêter de chercher, la ‘faille’ est présente dans tous les téléphone <ICS, puisse qu'elle vient du code AOSP. En effet avant ICS, un simple liens permettais de lancer un appel.
Aussi il suffisait de mettre *#06# comme numéro pour afficher l'IMEI.
Depuis ICS, l'appel ne ce déclenche que si vous appuyé sur le btn call. De plus si le code n'est pas un numéro de tel, mais un code 'action' il ne marchera pas même si vous appuyez sur le btn call. Il faut le taper vous même.
Maintenant pour ce qui est des samsung, rien d'étonnant, samsung passe son temps a casser le code qu'il récupère de l'AOSP. Il code comme des manchot avec que des pouce au pieds. (j'ai travailler sur leur rom… un cauchemards!)
Ducoup ils on du récupérer le code ICS, constater que ce nouvel ajout de sécurité cassais un de leur test auto, et donc dégager sans réfléchir ce bout de code ! Classique !
Suite (et fin) des tests :
Navigateur standard (jusqu’en 4.0.x) et Firefox amènent aussi sur l’application Téléphone sans validation du code (donc validation système obligatoire de ces liens), et Opera quand à lui ne traite pas le code du tout. Apu d’autres navigateurs installés ^^
Le HTC One S est faillible d’après le test
Les problèmes posés par Active X appliqués aux téléphones…
C’est du joli…
Plop
Sur mon appareil, le site m’ouvre un pop up qui indique *#06# et mon appareil me propose de le composer (ou de refuser)
Je ne pense donc pas être affecté par le problème. (Dolphin Browser, navigateur par défaut gelé)
Htc desire sous miui 2.3.30 avec miren browser
affichage du n°imei
You’re welome Nikopik
le clone samsung galaxy s3 est déja sortie??
http://www.discoutech.com/product.php?id_product=1027