Une faille zero-day permet de bloquer les smartphones Samsung Galaxy à distance

Mauvaise semaine pour Samsung. Il y a quelques jours, un anonyme avait mis au jour des vulnérabilités dans Knox, le coffre-fort numérique qui permet de sécuriser des données sensibles sur un terminal Galaxy. Un hacker égyptien vient maintenant de faire la démonstration d’une faille critique zero-day dans « Find My Mobile », un service web du fournisseur sud-coréen qui permet aux utilisateurs de géolocaliser leur joujou en cas de perte ou de vol et, le cas échéant, de le bloquer ou de le faire sonner.

Le chercheur en sécurité Mohamed Abdelbaset Elnoby (alias @SymbianSyMoh) a trouvé un moyen d’activer ces fonctions au travers d’une attaque dite de « cross-site request forgery ». Lorsqu’un utilisateur est logué dans le service « findmymobile.samsung.com », il suffit qu’il clique sur une page HTML piégée – en occurrence un formulaire caché  – pour qu’il se retrouve avec un smartphone totalement verrouillé.

Dans deux vidéos, le hacker égyptien montre le blocage de son propre smartphone depuis une page web. Dans le code malveillant, on voit qu’il a défini un code de blocage spécifique, assorti du message « Ce terminal a été verrouillé par @SymbianSymoh ». Il est également possible, avec la même attaque, de déverrouiller un smartphone ou de le faire sonner.

Cette attaque est possible, car le service web de Samsung n’effectue pas les vérifications nécessaires quant à l’origine des requêtes HTML. Cette faille a été référencée par le CERT-US/NIST sous le numéro CVE-2014-8346, avec un niveau de risque élevé. Jusqu’à présent, le fournisseur sud-coréen n’a pas fait de commentaires sur cette découverte. En attendant un correctif,  et pour ne pas se faire piéger, le mieux est encore de désactiver cette fonction sur son smartphone.      

Lire aussi:

La sécurité des Samsung Galaxy mise à mal par un hacker anonyme, le 27/10/2014

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.