Hier, une faille dans la sécurité Android a été découverte et elle s'est avérée être plus grave que nous l'avions pensé. Elle concene non seulement Samsung, mais de nombreux autres téléphones. Voici un aperçu de la situation : comment cela fonctionne, et comment vous pouvez vous en protéger.
Patient 0
Le 21 Septembre, le développeur indien Ravi Borgaonkar a tenu une conférence de sécurité à Buenos Aires, intitulée "l'abus des codes USSD sur les réseaux mobiles." Pour démontrer les graves problèmes de sécurité associés aux codes USSD, il a effacé un Galaxy S2, en cliquant simplement sur un lien d'un site Web malveillant.
Comment est-ce arrivé ?
Borgaonkar entré le code USSD *2767 *3855# sur son Galaxy S2 ce qui a réinitialisé son téléphone aux paramètres d'usine originels, un processus qui s'effectue différemment sur les différents modèles Android. Sur certains, comme l'HTC One X, l'appareil vous demande si vous souhaitez supprimer toutes vos applications et restaurer votre téléphone aux paramètres d'usine ou si vous voulez faire tout cela Et supprimer toutes vos photos, musiques et fichiers personnels enregistrés sur la carte SD. Sur le Galaxy S3, le processus supprime juste toutes vos applications, données d'applications et les paramètres du système.
La page de réinitialisation usine sur le Galaxy S3 (à gauche) et le HTC One X (à droite). Remarquez que l'HTC One X offre aux utilisateurs la possibilité d'effacer également la carte SD.
Qu'est-ce qu'un code USSD ?
Un code USSD est envoyé au téléphone pour qu'il effectue des actions. Ils sont principalement utilisés par les opérateurs de réseau pour fournir aux clients des accès préconfigurés à certains services, comme le renvoi d'appel, la consultation du solde etc. Ces raccourcis sont également utilisés par de nombreux fabricants pour contrôler les fonctions du système. Mais ils sont principalement destinés à un usage interne et donc rarement communiqués à l'utilisateur.
Où est la faille de sécurité ?
Normalement, lorsque vous entrez un code USSD, vous devez le saisir sur le clavier de votre téléphone et appuyez sur le bouton d'appel. Mais le code de Borgaonkar passe cette étape et s'exécute automatiquement, en tâche de fond, sans que l'utilisateur ne remarque quoi que ce soit.
Le code USSD relie le navigateur aux applications du téléphone. Ce qui signifie que si l'on clique sur un numéro de téléphone dans mon navigateur, l'application du téléphone s'ouvre avec le numéro précédemment cliqué et je n'ai plus qu'à appuyer sur le bouton "appeler".
Le code HTML qui exécute une telle action est le suivant :
<a href="tel:xyz"> Cliquez ici pour nous appeler directement </ a>
Et il suffit de remplacer "xyz" avec le code USSD *2767*3855# et le code HTML devient beaucoup plus néfaste :
<a href="tel:*2767*3855#">Cliquez ici pour nous appeler directement </ a>
Cette commande suppose que l'utilisateur clique sur le lien, de sorte que l'application téléphone est lancée. Borgaonkar a intégré cette commande dans un frame qui ressemble à ceci :
<frameset> <frame src="tel:*2767*3855#" /> </ frameset>
Maintenant, si ce code est intégré dans un site web et qu'un smartphone passe sur ce site, le téléphone composera directement et sans plus de discernement ce numéro. Mais en soi, ce n'est pas le problème puisque en ordre général l'utilisateur doi ensuite appuyer explicitement sur le bouton appeler pour que quelque chose se passe.
Mais la brèche de sécurité est plus maligne car l'appel est automatiquement exécuté en arrière plan, sans confirmation nécessaire par l'utilisateur. Au contraire, l'appel est passé en secret. Et si ce qui se cache derrière n'est pas un numéro de téléphone mais un raccourci USSD correspondant, alors il y a un problème.
Dans la démonstration de Borgaonkar cela signifie que le Galaxy S2 peut visiter un site Internet malveillant et instantanément se réinitialiser aux paramètres d'usines à l'insu de l'utilisateur ce qui se passe.
Un problème pour Samsung ou tous les Android ?
C'est un problème qui concerne tous les Android. Samsung a eu la malchance d'être le cobaye du développeur indien, mais l'exécution des codes USSD en arrière-plan est typique des Android.
Y a-t-il d'autres points d'entrée ?
Oui. N'importe quelle application qui a accès à votre navigateur, peut effectuer cette opération automatiquement via un site web. Il peut effectuer l'action par l'intermédiaire de codes QR, de tags NFC et de messages WAP Push.
Deux modèles de Galaxy S3 après avoir visité le site test http://www.isk.kth.se/ ~ rbbo / testussd.html. Le modèle de gauche tourne avec le dernier Firmware Samsung (Android 4.1) tandis que celui de droite marche avec CM9 (Android 4.0.4) / (c) AndroidPIT
Quels téléphones sont touchés ?
Jusqu'à présent, nous avons remarqué que le fabricant et la version d'Android jouent un rôle important dans le risque. Les appareils fonctionnant sous Android 4.1 Jelly Bean ne semblent pas être affectés. Cependant, les appareils fonctionnant sous Android 4.0.1 et 4.0.3 encourrent le risque. Que le code USSD soit accédé via Chrome ou un navigateur natif d'Android semble également aussi avoir un effet sur le résultat.
Les appareils suivants sont reconnus comme risquant ce risque :
- Samsung Galaxy S3 fonctionnant sous Android 4.0.4
- Samsung Galaxy S2Samsung Galaxy Ace, BEéam, et S Advance
- HTC One W
- HTC One X
- HTC Sensation (XE) sous Android 4.0.3
- HTC Desire HD
- HTC Legend
- HTC Desire Z
- Motorola Milestone
- Motorola Atrix 4G
- Motorola Razr sous Android 2.3.6
- Huawei Ideos
Pour savoir si votre téléphone encoure le risque, il suffit de visiter le site mentionné par Borgaonkar: http://www.isk.kth.se/ ~ rbbo / testussd.html. Si votre téléphone affiche immédiatement un numéro IMEI, votre modèle exécutera les commandes USSD en arrière-plan sans vous en informer.
Comment puis-je protéger mon téléphone ?
Si vous installez un composeur de numéro alternatif, vous devriez normalement toujours recevoir un message qui vous demande quelle application de téléphone vous souhaitez utiliser pour exécuter l'appel. Faites attention à ne pas choisir un composeur comme "composeur" par défaut, pour que la boîte de dialogue apparaisse toujours.
En outre, un développeur et membre de la communauté AndroidPIT, Joerg Voss, a également créé un petit outil qui "émule" un composeur de ce type et devrait stopper l'exécution automatique du code. Vous pouvez installer NoTelURL directement depuis le Google Play Store.
Dans tous les cas, avant chaque appel une boîte de dialogue intermédiaire apparaît. Pour le moment il n'y a pas de solution plus pratique. Samsung a également annoncé préparer un patch pour les modèles affectés.
En conclusion, quel est le risque pour mon téléphone?
Le risque est que, lors de la visite d'un site Web, un code USSD pourrait commencer à être exécuté sur votre téléphone en arrière-plan ce qui est sans aucun doute une brèche sérieuse de sécurité. Mais ne paniquez pas tout de suite : à ce jour, aucun cas n'a été rapporté qui montrerait que cette faille a été exploitée.
(traduit de Leila Pierre)
Également intéressant
Commentaires
Peut-être parce que justement l'application bloque l'exécution du code ?
J'ai installe l'application dont le lien a ete donne et quand je le lance,il me dit que j'ai probablement ouvert un site infecte, bizarre car rien n'a ete efface !