Une faille efface trop rapidement certains smartphones Samsung

Nicolas Furno |

Certains smartphones sous Android de Samsung souffrent d'une faille particulièrement gênante puisqu'elle conduit à la restauration de l'appareil qui revient en quelques secondes à ses réglages d'usine. La faille provient de la surcouche graphique TouchWiz que le constructeur a utilisée dans la majorité de ses appareils.

Pour l'heure toutefois, seuls quelques modèles sont concernés par cette faille qui devrait rapidement être corrigée par le constructeur coréen. Dans la liste, on note quand même la présence du Galaxy SII, le S Advance et le SIII commercialisé aux États-Unis. En attendant le correctif, on ne peut que recommander aux propriétaires des appareils concernés de faire preuve de prudence.

Il suffit d'un code composé d'une dizaine de caractères pour lancer la réinitialisation automatique de l'appareil. Problème, ce code peut facilement être installé sur n'importe quelle page Internet malveillante. Il suffit alors d'ouvrir cette page pour trouver son téléphone sans ses données et l'opération est non seulement très rapide, mais elle ne peut en plus même pas être interrompue avant son terme.

Inutile de céder à la panique, il n'y a guère de raison que ce code soit installé sur tous les sites et Samsung devrait réagir très rapidement étant donné la gravité de la faille. Pour plus de sécurité, désactivez quand même l'ouverture automatique des sites depuis un code QR ou une puce NFC et évitez d'ouvrir n'importe quel lien sur votre appareil.

Reste maintenant à savoir comment pourra réagir Samsung, sachant que les opérateurs font en temps normal l'intermédiaire pour fournir les mises à jour du système. On peut espérer qu'une procédure extraordinaire sera utilisée pour accélérer le processus.

[Via : SlashGear]

Tags
#sécurité #Samsung Galaxy S II #Samsung #android
avatar Lou117 | 
sa aicri malle le fransé osi.
avatar Lou117 | 
Faille qui ne sert à rien, dans le sens ou personne n'en profite, mais qui est dramatiquement grave dans sa facilité de mise en oeuvre et dans les conséquences pour les utilisateurs... Lamentable, rien d'autre à dire.
avatar davmacgeneration | 
Pas sur d'avoir bien compris il suffirait que... Macg mettent quelques lignes programmes dans leur pages pour que les pauvres SamsunG. Ohhh non, MacG, ce ne serait pas charitable. C'est que... malgré tout on les aime bien ;-)
avatar Lou117 | 
Tu essayes d'écrire une phrase ? Si oui il te manque des éléments pour qu'on puisse la décoder... Cela dit, pour expliquer plus clairement, il suffit d'avoir soit : 1) un lien de type "tel:XXXXXXX" avec les X remplacés par le fameux code. Si l'utilisateur clique dessus (ou que le lien est lancé tout seul par un javascript), cela lance le reset automatique... 2) le même lien mais codé en QR Code, une fois flashé, va s'exécuter automatiquement aussi... 3) De même, un tag NFC contenant le même texte fera la même chose... C'est plus clair ?
avatar Satoral | 
De ce que j'ai lu, t'as juste besoin d'une ligne de html. En gros, leur touchwiz appelle automatiquement quand le truc est cliqué, ce lien étant généralement utilisé pour l'enregistrement de l'utilisateur ou des diagnostics. Ce petit bout de HTML peut même être intégré dans des QR Codes ou en NFC. Et il peut rendre la carte SIM inopérante.
avatar Lou117 | 
"Et il peut rendre la carte SIM inopérante." t'as vu ça ou ?
avatar Tibimac | 
Dans l'article qui est à la source de cette news. http://www.slashgear.com/samsung-galaxy-s-iii-remote-data-wipe-hack-discovered-25249061/
avatar Schlurf | 
N'empêche le trolleur qui passe ici avec son droid... ce n'est pas charitable mais quel plaisir de l'imaginer avec son bout de plastoc dans les mains... bouh ;-)
avatar JackOne | 
On va voir si cette énormité va être abordée dans les médias plus généralistes. Si ça concernait l'iPhone, là maintenant on aurait déjà droit à un article dans tous les canards papiers, un reportage dans les journaux TV, un sujet dans le Gand journal, un sketch dans les Guignols de l'info etc.
avatar Lou117 | 
@daito : cela commence à en parler dans les media traditionnels et je suppose que ça va se propager assez vite car c'est assez énorme en effet. Cela dit, il se vends moins de Galaxy S (2 ou 3) que d'iPhone, largement, donc l'impact public est forcément moins grand.
avatar Lou117 | 
@Steeve J. : oui mais nous ne savons pas précisément quels modèles pour le moment. A priori, le Ace, Galaxy S3 hors USA ou autres ne sont pas concernés... Mais cela reste à confirmer. Pour le moment il semblerait que cela touche bien moins d'appareils que d'iPhone disponibles, mais clairement ça devrait s'amplifier si on voit que la faille impacte bien plus de modèles.
avatar JackOne | 
ahh bon pourtant tous les médias disent sans argument que Samsung est devenu le premier vendeur de Smartphone.
avatar Lou117 | 
@daito : oui et c'est vrai, tous modèles confondus. Quoi que tu en penses. Mais tous les smartphone Samsung ne semblent pas, à priori, concernés.
avatar an3k | 
Faut arrêter la parano. C'est une faille énorme et si tu cherches, tu verras que l'info se propage vite. Et samsung a intérêt à trouver une parade rapidement.
avatar Lou117 | 
@Steeve J. : "ce code de remise à zéro existe depuis très longtemps sur Touchhwizzz " Dans l'immense majorité des téléphones, c'est un code standardisé sous un protocole assez classique : USSD. ( http://fr.wikipedia.org/wiki/Unstructured_Supplementary_Service_Data ). Il est même probable qu'il y ait un équivalent sur iOS. Cependant c'est la facilité de lancement de procédure (automatique, sans confirmation) qui pose souci.
avatar eipem | 
@Lemmings : 'Il est même probable qu'il y ait un équivalent sur iOS' J'ai quand même un peu de mal à le croire. D'une part parce que Apple a fermé toute possibilité d'ouvrir un quelconque élément de "Réglages" avec iOS5 (souviens-toi du code HTML qui permettait de créer un simili SBSettings grâce à de simples raccourcis springboard mais qui a par la suite été rendu inefficace) - D'autre part parce que cette faille n'apparaît pas comme le fruit d'Android (l'OS brut de Google) mais de la surcouche Touchwizz. Il ne faut toutefois jamais dire jamais et je ne doute pas qu'une bande de hackers soit d'ors et déjà entrain de chercher cette faille dans iOS. En même temps avec iCloud, cette faille ne fait pas bien peur. C'est juste un peu chiant.
avatar Lou117 | 
@joneskind : à partir du moment ou ton iPhone peut exécuter des actions comme afficher le code IMEI depuis un tel code entré en numéro d'appel, c'est qu'il est possible que d'autres codes existent. Maintenant rien ne dit que, si un tel code existe, il ne demande pas une confirmation comme cela se passe en passant par les réglages. mobile.free.fr/assistance/54.html
avatar Lou117 | 
@byte_order : oui parfaitement !
avatar Alex56 | 
@daito : Tu m'etonnes. C'est comme les quelques cas d'ecrans fissures sur les iphones. C'etait parodié a mort a la tv et sur le net.
avatar djmat | 
Ouais enfin y'a quand meme des trucs qui sont assez hallucinant chez Apple (exemple, tu ouvres ta boite t'as un téléphone avec des impact ou des rayures). Et apparemment c'est très répandu meme sur ces forum. Et je te parle pas de la foison de bugs iOS 6. Ou de la faille SMS sur iOS 5. Donc Apple n'est pas clean de ce coté là non plus. Cependant ça reste quand meme une énorme faille et Samsung devrai se bouger ! Enfin chez moi pas de Samsung à part un Nexus de toute façon donc on est tranquille de ce coté là.
avatar drkiriko | 
@Jean-Luc Droid : +1
avatar napuconcture | 
Le mieux c'est de rajouter en attendant une application de clavier téléphonique (dialer). Quand le code malicieux sera envoyé Android va demander quel clavier utiliser, il suffit de quitter la fenêtre de choix avec la touche retour. Par contre il ne faut pas mémoriser le choix d'association de "dialer" avec celui de Touchwizz tant que ce n'est pas corrigé.
avatar napuconcture | 
Si vous allez dessus https://dl.dropbox.com/u/60353400/index.html (le fichier de test est sur ma dropbox) et que le dialer s'affiche pré-composé, ou que le téléphone donne votre IMEI, alors ce n'est pas bon. Si cela ne lance pas le dialer, ou qu'il se lance mais sans composer de numéro alors c'est bon. Dans ce cas il faut appliquer le conseil-ci dessus.
avatar djmat | 
Merde ça le fais sur mon HTC One S... En gros ça touche tous les téléphones qui peuvent exécuter des codes USSD non ? Quelqu'un peut essayer avec autre chose qu'Android et dire ce qu'il en est ? (sur iPhone, Windows Phone...)
avatar frondot | 
@Superboy58 : Mdr les gens sont pas fou, ils vont pas prendre le risque de perdre les données de leur téléphone rien que pour essayer :)
avatar djmat | 
Non mais avec le lien de lmouillart qui affiche juste ton IMEI x) pas le code d'effacement lol !
avatar djmat | 
J'imagine cependant que le code de RESET est propre à Samsung. Mais j'ai pas envie d'essayer ^^
avatar napuconcture | 
Faudrait pas avoir de bol pour que le code de demande d'IMEI d'un constructeur corresponde au reset d'un autre. Après effectivement plus rien ne m'étonne. :)
avatar Lou117 | 
@Superbox58 : ça peut marcher sur tous les portables qui utilisent ces codes, iPhone inclus. Juste que le code sera certainement différent ;)
avatar djmat | 
Je viens d'essayer le lien de lmouillart sur un Nexus S Jelly Bean ça t'ouvre le dialer avec *#06# alors que sur mon One S ça m'affiche mon IMEI direct !!
avatar Lou117 | 
@Superboy58 : oui mais après si tu tapes le code qui va bien, tu pourrais aussi lancer un reset du GNexus. Seulement il faut l'entrer à la main ;)
avatar Lou117 | 
@iCaramba : aucune idée, il suffit d'essayer... Clique sur le lien. :)
avatar an3k | 
C'est vraiment gravissime. Je ne sais pas comment samsung va réussir à corriger rapidement cette faille considérable sachant qu'avec leur système d'update, il faut sans doute un update pâr téléphone et par configuration pays / opérateur se qui pour un téléphone comme le S2 se traduit par des dizaines de variantes différentes... Sur un site de test qui permet de voir si le téléphone est sensible au bug en affichant le code IMEI, j'ai vu que mon Galaxy Note était protégé comme le S3 d'un collègue (sous Android 4.1.1) mais que le S2 d'un autre collègue (sous Android 4.0.3) avait la faille...
avatar napuconcture | 
@Steve J Les Samsoules fans sont des frandroid et les frandroid ne naviguent pas avec leur smartphone sur le net, ils sont trop occupé à casser eux même leurs téléphone, et quand ils n'y arrivent pas ils volent des applications Android, et même des apps iOS tellement ils sont vicieux. Donc pas de souçis ^^.
avatar Lou117 | 
@Steeve J. : change d'humour stp... Et je t'ai déjà dis que le terme "samsoulfan" est infantile et pas franchement à ton profit.
avatar Lou117 | 
Fanboy c'est pas la même chose, on peut être un fanboy et l'assumer. Ce n'a rien de péjoratif. Et désolé, mais tu ES un fanboy Apple :)
avatar Lou117 | 
C'est péjoratif dans le sens ou tu déformes les noms de l'entreprise. Samsung / samsoul... On dirait un gamin de 11 ans qui découvre le collège... Tu n'as qu'à dire "fanboy Samsung", parfaitement compréhensible là. Je pense la même chose de ceux qui écrivent Micro$oft par exemple.
avatar Schlurf | 
et samgsue pour signaler un certain talent pour le pompage, c'est péjoratif ? Il faut se rincer la bouche ou faire la génuflexion devant sa Majesté; C'est quand même pas Mahomet non ;-)))
avatar djmat | 
Lol Steve ! Bah en même temps imagine qu'ici personne ne désapprouve jamais tes propos tu finirai par t'ennuyer ^^
avatar djmat | 
lol ce coup de pute ^^ mais sinon ouais bonne idée à quelqu'un qu'on aime pas si il a un Samsung ou un autre téléphone touché !
avatar an3k | 
Cela concerne aussi certains téléphones HTC... A priori, Samsung a déjà corrigé la faille dans les ROM les plus récentes (c'est sans doute pour cela que cela ne passe pas sur mon GNote qui a eu une mise à jour OTA la semaine dernière). Le découvreur de la faille a semble-t-il informé Samsung il y a trois mois avant de rendre l'exploit public.
avatar Lou117 | 
Si c'est le cas c'est très grave que Samsung n'ai rien fait depuis !
avatar an3k | 
Si si, il semblerait que les derniers firmwares diffusés par Samsung corrigent la faille au contraire :-) Il s'agissait d'une diffusion silencieuse mais le processus va devoir s'accélérer maintenant que la faille a été révélée au public.
avatar Lou117 | 
C'est surtout le manque de mise à jour sur certains modèles qui pose problème !
avatar an3k | 
Tout à fait. Mais attention, Samsung n'est pas le seul concerné. De nombreux téléphones HTC (j'ai vu passer le Hero, le Desire S) rencontrent aussi ce problème majeur. Il faudra voir l'étendue des téléphones concernés au fur et à mesure des tests des utilisateurs. Cela semble une faille très très répandue.
avatar guiz913 | 
Touchwizz c'est le mal....déjà que c'est franchement pas folichon...on peut pas mettre un code qui surprime touchwizz et qui laisse android en stock? Non parce que android en stock rom sur un gs3 pourrait être vachement bien....mais bon... Si pas Nexus et tant que touchwizz existera..pas de samsung en smartphone pour moi... Sinon vous avez vu la rapidité du formatage de l'engin? Plus rapide que le A6 j'en suis sûr ^^
avatar an3k | 
J'aime bien Touchwizz en ce qui me concerne :-) la dernière mise à jour de firmware reçue en OTA a mis sur mon Note la dernière version Touchwizz UX (donc la version du Galaxy S3) et je trouve cette interface super bien pensée :-) Comme quoi les goûts et les couleurs...
avatar napuconcture | 
Il existe des AOSP quasi pure (sauf drivers S3) pour GS 3.
avatar an3k | 
Les firmwares S3 récents n'ont pas le pb.
avatar Tibimac | 
@Abaxil "Ceci dit je ne vais pas non plus y passer ma vie" Ouf ! "Juste j'y reviendrai dans trois moi" J'espère sue MacG relaiera en direct ta keynote. J'ai bien compris que tu es quelqu'un de très important dans le monde, dont l'expertise et les opinions peuvent détruire des multinationales, trembler Google et Samsung, et que tu es probablement un acteur majeur du succès de l'iPhone 5. Le problème, c'est qu'on te mérite pas. C'est un site beaucoup trop amateur pour toi. Pourquoi tu n'essaies pas de trouver un autre site plus pro où on appréciera mieux tes remarquables intervention. Ou comme tous les leaders d'opinion comme toi, fait un blog. Sinon, tu es content de iPhone 5. Non, là je plaisante.

Pages

CONNEXION UTILISATEUR