Finalement, le patch pour combler la fameuse faille SwiftKey des Samsung Galaxy pourra venir plus vite que prévu. Révélée il y a quelques jours par un chercheur en sécurité, cette vulnérabilité permettrait à des pirates de prendre le contrôle de n’importe quel modèle, du S4 au S6 (lire ci-dessous). Samsung avait déjà développé un patch début 2015, mais celui-ci a beaucoup de mal à se propager. En effet, suite à un accord commercial, le clavier SwiftKey a été intégré de manière native dans le système de Samsung. Lorsque l’appareil a été acheté auprès d’un opérateur, c’est ce dernier qui diffuse les mises à jour système. Ce qui, visiblement, semble prendre du temps.
Pour contourner ce problème, Samsung a trouvé une autre solution. Il diffusera prochainement un patch directement au travers de sa suite Samsung Knox, qui offre tout un tas de fonctions de sécurité et qui est généralement installée d’office sur les terminaux. « Samsung Knox a la capacité de mettre à jour la politique de sécurité des téléphones, directement par voie hertzienne (over-the-air), permettant de faire disparaître toutes les vulnérabilités potentielles causées par ce problème. Les mises à jour de la politique de sécurité seront diffusées d’ici à quelques jours. Par ailleurs, nous travaillons avec SwiftKey pour traiter les risques potentiels à l’avenir », explique Samsung auprès du site AndroidCentral.com.
Article publié le 16 juin 2015
Les pirates peuvent prendre le contrôle de presque tous les Samsung Galaxy
Une faille dans le mécanisme de mise à jour permet d’installer et d’exécuter un code arbitraire sur les Galaxy S4, S5 et S6. Samsung a développé un patch, mais il met du temps à être diffusé.
A l’occasion de la conférence BlackHat Mobile Security Summit, qui se tient le 16 et 17 juin à Londres, le chercheur en sécurité Ryan Welton de la société NowSecure a montré qu’il était possible de pirater à distance n’importe quel smartphone Samsung Galaxy, du modèle S4 au tout dernier S6. Ce qui représente la bagatelle d’environ 600 millions de smartphones en circulation dans le monde.
La faille permettrait d’installer une application maveillante sans que l’utilisateur ne puisse le remarquer. Elle donne accès aux ressources matérielles, comme le téléphone, la caméra, le GPS ou le microphone. C’est donc un moyen idéal pour espionner l’utilisateur d’un Galaxy et de lui voler des données. Et la mauvaise nouvelle, c’est que l’utilisateur ne peut pratiquement rien faire s’il a acquis son mobile chez un opérateur mobile : seul ce dernier peut distribuer le patch salvateur.
Pour réaliser son hack, Ryan Welton s’appuie sur une application bien connue et installée d’office sur tous les derniers Samsung Galaxy : le clavier SwiftKey. Depuis le lancement du Galaxy S4, celui-ci est intégré de manière native dans les smartphones Samsung. A ce titre, cette application dispose de privilèges d’exécution très élevés (« system user »).
Une procédure de mise à jour peu sécurisée
Mais le chercheur a découvert que les mises à jour du clavier virtuel ne se faisaient pas de manière chiffrée. Les paquets applicatifs sont téléchargés en clair et peuvent donc être modifiés au passage, par le biais d’une attaque « man in the middle » par exemple. Ce qui permet donc d’installer n’importe quel code sur le téléphone, y compris du code exécutable.
Hacker responsable, Ryan Welton a bien évidemment contacté Samsung au préalable, lorsqu’il a découvert la faille en novembre 2014. Selon Wall Street Journal, le fabricant lui a demandé de retenir cette information jusqu’à fin 2015, mais le chercheur a estimé que ce délai était trop long. Il a profité de la conférence BlackHat pour la rendre publique. Samsung, de son côté, a développé un patch début 2015, mais celui-ci doit être diffusé par l’opérateur mobile de chaque utilisateur. Un processus qui peut être long et complexe. En attendant, il est conseillé d’éviter les réseaux qui inspirent peu confiance, car le clavier SwiftKey ne peut pas être désinstallé.
Sources :
Notes de blog de NowSecure, WSJ, BlackHat
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.