Les Samsung Android truffés de failles de sécurité
Roberto Paleari, un chercheur informatique italien, révèle sur son blog que les terminaux Samsung sous Android sont victimes de larges failles de sécurité. Du moins ceux qu'il a utilisés à titre personnel, à savoir les Galaxy S3 et Galaxy Tab GT-P1000.
« Toutes les vulnérabilités que je signale peuvent être exploitées à partir d'une application locale sans privilège », déclare le jeune chercheur. Autrement dit, les attaques des terminaux ne nécessitent aucun privilège particulier. « Cela permet à des attaquants de cacher le code d'exploitation à l'intérieur d'une application à faible niveau de privilège (et apparemment bénigne) distribuée par Google Play ou sur le store de Samsung », écrit-il.
Prise de contrôle du terminal
Il en résulte un risque de prise de contrôle à distance du terminal, sans intervention de l'utilisateur, la possibilité d'envoyer des SMS sans la permission d'Android (ce qui est contraire à son fonctionnement) mais aussi des e-mails, ainsi que la capacité à changer les paramètres réseau.
Pour Roberto Paleari, il ne fait aucun doute que « toutes ces failles ont été causées par les logiciels spécifiques ou les personnalisations apportés par Samsung [dans Android] ».
La lente réactivité de Samsung
Contacté mi-janvier, Samsung n'a pas fait de retour officiel au chercheur. Tout en lui demandant d'attendre que les correctifs soient disponibles, notamment auprès des opérateurs, avant de divulguer les vulnérabilités.
De son côté, le chercheur n'a pas publié les détails de ses découvertes pour éviter d'exposer les utilisateurs des terminaux Samsung, justifie-t-il. Il propose néanmoins une vidéo sur son site montrant la faisabilité d'un des six exploits trouvés (l'installation d'une application avec des privilèges administrateur).
Selon Roberto Paleari, « la plupart des failles signalées à Samsung sont faciles à trouver [en ligne] » et qu'il espérait l'arrivée rapide des correctifs alors que « ces bogues peuvent être corrigés assez facilement ». Une attente qui le rend pessimiste sur la distribution prochaine des patches en question. Peut-être la publication de son article va-t-elle maintenant accélérer la distribution des mises à jour chez Samsung.
Crédit photo © Slavoljub Pantelic - Shutterstock
Lire aussi : Galaxy AI : Samsung en Google-dépendance
Sur le même thème
Voir tous les articles Workspace