Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
quoideneuf1.over-blog.com

Smartphone Samsung: Une faille zero day permet de verrouillé votre smartphone à distance

30 Octobre 2014 , Rédigé par nicko Publié dans #informatique

Une vulnérabilité du service « Find My Mobile » permet à un pirate malintentionné de verrouiller un terminal à distance. Aucun correctif n’est disponible pour l’instant.

Smartphone Samsung: Une faille zero day permet de verrouillé votre smartphone à distance

Mauvaise semaine pour Samsung. Il y a quelques jours, un anonyme avait mis au jour des vulnérabilités dans Knox, le coffre-fort numérique qui permet de sécuriser des données sensibles sur un terminal Galaxy.

Un hacker égyptien vient maintenant de faire la démonstration d’une faille critique zero-day dans « Find My Mobile », un service web du fournisseur sud-coréen qui permet aux utilisateurs de géolocaliser leur joujou en cas de perte ou de vol et, le cas échéant, de le bloquer ou de le faire sonner.


Le chercheur en sécurité Mohamed Abdelbaset Elnoby (alias @SymbianSyMoh) a trouvé un moyen d’activer ces fonctions au travers d’une attaque dite de « cross-site request forgery ». Lorsqu’un utilisateur est logué dans le service « findmymobile.samsung.com », il suffit qu’il clique sur une page HTML piégée - en occurrence un formulaire caché - pour qu’il se retrouve avec un smartphone totalement verrouillé.


Dans deux vidéos, le hacker égyptien montre le blocage de son propre smartphone depuis une page web. Dans le code malveillant, on voit qu’il a défini un code de blocage spécifique, assorti du message « Ce terminal a été verrouillé par @SymbianSymoh ». Il est également possible, avec la même attaque, de déverrouiller un smartphone ou de le faire sonner.

Cette attaque est possible, car le service web de Samsung n’effectue pas les vérifications nécessaires quant à l’origine des requêtes HTML. Cette faille a été référencée par le CERT-US/NIST sous le numéro CVE-2014-8346, avec un niveau de risque élevé. Jusqu’à présent, le fournisseur sud-coréen n’a pas fait de commentaires sur cette découverte. En attendant un correctif, et pour ne pas se faire piéger, le mieux est encore de désactiver cette fonction sur son smartphone.

Source: 01net

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Alerte: Une vulnérabilité dans le navigateur d'anonymisation TOR révèle l'IP réelle de l'utilisateur
Alerte: Une vulnérabilité dans le navigateur d'anonymisation TOR révèle l'IP réelle de l'utilisateur
En piratant Kaspersky, Israël aurait surpris des espions russes piratant des espions américains, mais...
En piratant Kaspersky, Israël aurait surpris des espions russes piratant des espions américains, mais...
Avertissement: CCleaner piraté pour distribuer des logiciels malveillants, Plus de 2,3 millions d'utilisateurs infectés
Avertissement: CCleaner piraté pour distribuer des logiciels malveillants, Plus de 2,3 millions d'utilisateurs infectés
La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements
La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements
Anonymous: 11 arrestations liées aux piratages de 70 sites internet affiliés au gouvernement Chinois
Hack: Certains ordinateurs de la maison blanche ont été piratés
Retour à l'accueil
Commenter cet article

Pages

Catégories

Archives

Map

Theme: Classical © 2024 - Hébergé par Overblog

GoTop