Samsung Galaxy : une faille critique permet le blocage de tous les smartphones à distance !

Décidément, rien ne va pour Samsung cette semaine. Une nouvelle faille critique qui vient tout juste d’être dévoilée permet de prendre le contrôle d’un smartphone Galaxy de Samsung via l’outil Find My Mobile. Une personne malintentionnée peut ainsi accéder à toutes les fonctionnalités permises par le programme et causer bien des méfaits à distance.

Alors qu’il y a quelques jours, un chercheur mettait en évidence pourquoi Knox est loin d’être invulnérable pour sécuriser des données sensibles malgré une belle certification américaine en la matière, voici qu’un hacker démontre, vidéos à l’appui, que le service Find My Mobile est encore moins sécurisé qu’on l’imaginait. Il s’agit d’un nouveau coup dur pour Samsung et les nombreux utilisateurs d’appareils de la marque.

Samsung Galaxy S5 mini Find My Mobile

Le service en ligne Find My Mobile permet de géolocaliser le smartphone et même de le faire sonner, voire de le verrouiller à distance en cas de vol. C’est donc peu dire combien la situation est sensible d’autant plus qu’elle touche potentiellement de nombreux utilisateurs (tous les Galaxy de Samsung ?) qui feraient mieux de désactiver la fonction sur leurs appareils. On ne sait jamais.

Nous devons la découverte au chercheur en sécurité égyptien Mohamed Abdelbaset Elnoby. C’est en utilisant une attaque de type « cross-site request forgery » qu’il a pu arriver à ses fins. A travers cette dénomination, il faut comprendre que Samsung n’a pas suffisamment sécurisé sa plate-forme en ligne. Il y a ainsi un manque de vérification sur l’origine des requêtes en HTML qui ouvre la voie à ce piratage.

En pratique, lorsqu’un utilisateur est connecté sur le web à Find My Mobile, il suffit alors de cliquer sur une page web modifiée avec un formulaire cachée pour pouvoir verrouiller intégralement l’appareil. Pour comprendre le phénomène nous vous conseillons de visionner les vidéos fournies ici.

Dans le même ordre d’idée, il est aussi possible de faire sonner à distance un appareil ou même de le déverrouiller. Notons que Samsung n’a pas encore appliqué de correctif de sécurité et n’a même pas communiqué sur l’ampleur du problème. N’oubliez donc pas de désactiver cette possibilité jusqu’à nouvel ordre !

Via

Réagissez à cet article !
  • Teddy

    Bonne nouvelle pour nous utilisateurs. En attendant la prochaine mise à jour prévue à l’age de notre retraite, on a tout le temps de se faire pirater.

    • trollitrolla

      c’est peut-etre pour ça que l’iphone 6 se plie….il est plie de rire…ok je me tire

      • Teddy

        Sympathique tentative (bien que je t’avoue ne pas avoir bien saisi mais pas grave ^^)
        Sinon concernant les produits Samsung c’est vraiment dommage que les mises à jours ne soient pas super rapides [je possède un Note 3]

        • mouais

          je te conseille de vendre ton note 3 et de prendre un nexus 5 ou 6…je ne suis pas anti samsung,j’avais un note 2 que je n’ai jamais mis a jour jusqu’a sa mort subite apres 22 mois d’utilisation.vu les mises a jour qui tardent mais en plus bugguees,j’ai prefere rester en 4.1.1.j’ai pris alors un nexus 5 et,bien que je perde en taille d’ecran,j’ai les mises a jour rapidement et puis,5″ est un tres bon compromis.sur ce,bonne journee:)

  • fred

    allez on attends les apple trolls qu’on croise partout,lâchez vous les filles LOL
    faut juste comprendre que android est le systéme le plus répandu et donc le plus attaqué comme windows.

    • Castor

      « Comprendre » et « Apple troll » dans la même phrase ….. tsss y a un soucis là !!!!!
      ====> je sors !!!!! :-P

      • fred

        Rooooooooh j’aurai pas osé MDR

        • Yoplait

          Xptdrrrrr trau maran

          Vous me faites vraiment plus pitier que les apple troll par moment

    • Teddy

      On ne parle pas d’une faille Android, mais une faille Samsung…..
      Sinon, il était sympa ton troll :)

      • fred

        et knox est sous windows peut être??? mon dieu mon dieu c’est dur hein ?

        • fred

          find my phone je voulais dire désolé

          • Jimmy

            tu oublie que chrome avait eu aussi une faille de sécurité !!!! Et la c’est Google !!!!
            De toute facon arreté de croire que tel ou tel programme est securisé !!!!!! En informatique y a rien de securisé a 100% !!!!!!!!!

      • Zahanar

        On reparle d’iCloud ?

    • Le Switcheur

      Y’a pas QUE 2 camps… Perso, j’aime pas Samsung, et je ne suis pas Apple user. Comme cela a été dit, ici c’est pas Android qui est en cause mais bien Samsung. Moi j’ai un moto G et je suis pas concerné. Mais ça m’éclate de voir ceux qui crachent sur Apple dès qu’une news essayer ici de noyer le poisson.

    • oscar stefanini

      Alors excuse moi mais si Samsung n’est pas capable de se protéger contre les failles csrf c’est grave. Même moi j’ai 17 ans et vu que je m’intéresse au monde du développement web (et je suis vraiment pas excellent) je sais m’en protéger (au moins plus qu’eux visiblement.) donc si c’est grave.

  • fred

    y en a beaucoup qui se servent de find my phone au fait ??

  • zamale

    Ouais,il faut quand meme que le « hacker » arrive a se connecter au site findmymobile avec l’identifiant et le MDP de la « victime »

    • sam

      Oui du coup c’est comme si on donne notre carte bancaire à quelqu’un après il nous dit qu’il a réussi à retirer de l’argent !

    • WellMaybe

      Non: il suffit que l’utilisateur soit connecté (ou ait coché une case du style « Se souvenir de moi ») et alors n’importe quel site web (que ce soit le site lui-même ou un bout de code comme une pub) peut déclencher des actions a distance sur le téléphone, car il pourra interagir avec le site FindMyPhone grâce a la faille.
      J’en conviens, ce n’est peut-être le cas de tous les utilisateurs du service. Mais il n’en reste pas moins que c’est une faille critique, qui doit être corrigé rapidement.

  • Le Switcheur

    Remplace Samsung dans le titre par Apple, et tu passes d’un coup de 10 coms à 200 !

    • Teddy

      ça c’est certain ! toutes les façons les articles les plus populaires sur ce site Android, sont veux qui parle de iOS :D

  • mouais

    allez!un ptit effort…

  • sachouba

    Donc encore une fois, il faut que l’utilisateur soit le déclencheur du piratage…
    Autrement dit, il faut pas être doué.

  • Athena223

    Il faut savoir aussi qu’il faut activé au préalable cette application qui ne l’ai pas . Et comme beaucoup ne connaissent même pas cette fonction ca impact pas tant de monde que ca …
    Au final ca crie a l’explosion pour un pétard qui a la mèche humide …

  • Victor F. Seara

    Ouais enfin il y a aussi Android Device Manager, iCloud Find my iPhone, CyanogenMod Account… Tout est vulnérable en fait.

  • Teddy

    En fait le Note 3 me sert surtout pour le dessin et les croquis, malheureusement il n’y a pas d’autres téléphones qui proposent le stylet.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !