dslreports logo
site
 
    All Forums Hot Topics Gallery
spc

spacer




how-to block ads


Search Topic:
uniqs
1185
share rss forum feed

AwaKeN

join:2006-08-15
J5C
kudos:1

[Cellulaire] A faire attention

Security bug sur certains téléphone Samsung

»gizmodo.com/5946334/samsung-secu···cialflow

Seb851
Future Shop Staff

join:2010-07-12
Sainte-Marthe-Sur-Le-Lac, QC
said by AwaKeN:

Security bug sur certains téléphone Samsung

»gizmodo.com/5946334/samsung-secu···cialflow

les HTC, LG et Motorola son touché selon frandroid


Guile

join:2011-09-28
Laval, QC
reply to AwaKeN
J'ai testé mon HTC Panache/Glacier/MyTouch4G Certains codes fonctionnent, mais il semblerait que pour un factory reset ce soit un autre code...

Pour contrer ceci (en attendant d'avoir un update) on peut installer un dialer différent prit sur le GooglePlay (n'importequel, peu importe) et de n'en mettre aucun à être utiliser par defaut. Ainsi vous devrez toujours choisir quel dialer utiliser pour exécuter un code, vous aurez donc l'opportunité de canceler la commande.

AwaKeN

join:2006-08-15
J5C
kudos:1
reply to AwaKeN
Voici un résumé de ce que dit Guile

»www.numerama.com/magazine/23845-···ent.html

Seb851
Future Shop Staff

join:2010-07-12
Sainte-Marthe-Sur-Le-Lac, QC

1 edit
reply to AwaKeN
La faille de sécurité initialement liée à certains terminaux Samsung, qui permet leur réinitialisation aux paramètres d'usine via un code USSD, pourrait toucher des smartphones d'autres marques selon l'expert en sécurité ayant révélé le problème. Le problème viendrait de mises à jour qui tarderaient à arriver sur les terminaux.

Présentée par Ravi Borgaonkar à la conférence Ekoparty mardi, la manipulation a permis à l'expert en sécurité de réinitialiser un Samsung Galaxy S III en consultant un lien renvoyant vers un code USSD spécifique. D'apparence, la surcouche logicielle TouchWiz et le navigateur par défaut d'Android semblent faire partie des raisons qui rendent cet exploit possible : TouchWiz facilite son activation en autorisant automatiquement le lancement du code USSD, sans action supplémentaire de la part de l'utilisateur.

Néanmoins, depuis mardi, Ravi Borgaonkar a donné des informations complémentaires au site Security Watch, expliquant avoir découvert la faille il y a plusieurs mois et l'avoir révélé aux constructeurs et opérateurs en juin dernier. Le principal problème vient du fait que peu d'entre eux l'ont patché : l'expert cite Google et Samsung parmi les bons élèves, ce qui sous-entend que les terminaux achetés directement chez ces constructeurs sont normalement protégés. La firme sud-coréenne a d'ailleurs publié un communiqué expliquant que le Galaxy S III a déjà bénéficié d'un correctif, et encourage ses possesseurs à mettre leur appareil à jour. Un patch pour le Galaxy S II est actuellement sur les rails.

« J'ai décidé de rendre la faille publique parce que tout le monde la connaît mais ne fait rien depuis des mois » a déclaré Ravi Borgaonkar. « C'est le devoir des distributeurs de proposer des appareils qui sont sûrs pour tous. »

Une page de test et un début de solution

Sur Twitter, Ravi Borgaonkar propose un lien permettant de tester son terminal Android pour savoir s'il est à risque. « Si vous voyez votre IMEI, vous devez mettre à jour votre appareil » explique l'expert. Ce test, disponible à l'adresse »www.isk.kth.se/~rbbo/testussd.html – il faut s'y rendre depuis un smartphone – a permis à des mobinautes de trouver la faille sur des smartphones HTC One X et One XL, notamment. Un HTC Desire sous Cyanogen Mod affiche également son numéro IMEI une fois le lien test activé.

Ravi Borgaonkar conseille non sans une pointe d'humour aux possesseurs d'un terminal à risque de se « déconnecter d'Internet ». L'expert conseille également l'installation de l'application TelStop de Collin Mulliner, déployée en urgence et destinée à bloquer les attaques par USSD. Une solution palliative en attendant que les opérateurs et les fabricants de mobiles comblent concrètement la faille eux-mêmes.

C'est pas lier au touchwiz de Samsung en pensant

PS les Samsung Galaxy S3 sont pas toucher


JoePro

join:2006-11-01
canada
said by Seb851:

...Présentée par Ravi Borgaonkar à la conférence Ekoparty mardi, la manipulation a permis à l'expert en sécurité de réinitialiser un Samsung Galaxy S III en consultant un lien renvoyant vers un code USSD spécifique....

said by Seb851:

PS les Samsung Galaxy S3 sont pas toucher

Huh, ok?

AwaKeN

join:2006-08-15
J5C
kudos:1
Comment faire de la désinformation sur internet 101, c'est bien beau aimer son téléphone mais de la a se contredire pour montrer que son téléphone / compagnie / OS est bon ya des limites ...

GuiGQc

join:2012-02-22
Gatineau, QC
reply to Seb851
said by Seb851:

le Galaxy S III a déjà bénéficié d'un correctif

C'est surement à ça que Seb faisant référence. Il est vrai que les plus récents téléphones reçoivent plus de soutiens que les anciens

MrBabou

join:2006-08-16
Gatineau
reply to AwaKeN
Colisse people, arrêtez de mettre vos vies sur votre 'tite bebelle électronique, et vous allez vous en colisser d'un factory reset de votre téléphone. Heck, vous allez probablement même trouver qu'il roule mieux après!

GuiGQc

join:2012-02-22
Gatineau, QC
Ou bien fait une back up sur le cloud. Surtout avec Android, ça se fait tout seul: les contacts, les applications, les photos, les vidéos, le calendrier, les mots de passe de Wi-fi, tes emails (évidemments), les données de ton browsers (bookmarks, etc.).

Tu peux aussi faire un back up de tes SMS si tu veux!

Si c'est pas assez, tu peux faire un back up complet de ton téléphone pour garder le layout de tes icones, l'historiques de tes appels, etc.
Avec un back up complet, ça ruine un peu le principe de faire un Factory Reset par contre...

Seb851
Future Shop Staff

join:2010-07-12
Sainte-Marthe-Sur-Le-Lac, QC
reply to AwaKeN
Bon, soyons clair :

1) Si votre IMEI s'affiche, c'est que vous étes vulnérable à la faille Remote USSD. C'est à dire que l'on peut lancer à distance du code USSD sans vous prévenir.

2) Tous les mobiles n'ont pas de code USSD pour effectuer un Factory Reset. Par contre les GS3 l'ont donc si votre GS3 affiche l'IMEI alors on peut faire un factory reset à distance de votre appareil

3) Si vous avez un autre mobile qu'un GS3 vous n'êtes pas à l'abri pour autant car le Factory Reset n'est pas le seul danger. Sur certains opérateurs j'aurai même pu modifier votre PIN ou bloquer tous vos appels rentrant

4) On ne connait pas la liste des codes USSD supporté par chaque appareil. Certains pourraient avoir bien pire qu'un simple reset.

La faille c'est l'execution de code USSD à distance sans validation de l'utilisateur. Pas le code USSD qui fait un Factory Reset (lui il est totalement voulu)

Edit: il faut savoir que la faille Remote USSD provient des sources Android et n'a été corrigé par Google qu'il y a 3 mois. A part Samsung qui a commencé depuis 1 mois et demi à deployer des firmwares sans le bug, il semble qu'aucun constructeur n'ait corrigé la faille.

LEKO

join:2010-09-28
Montreal, QC
reply to AwaKeN
Donc, si un appareil est basé sur Android 4.1.1, on a pas le bug?

Je n'ai pas pu reproduire le bug sur un Galaxy Nexus qui est sous 4.1.1, je n'ai pas essayé avec mon Nexus S (aussi sous 4.1.1).

Et comme décrit dans l'article, on peut se prémunir contre le bug en utilisant temporairement un dialer alternatif ou bien en installant une application qui intercepte les "calls.

Cette application fait la job:
»play.google.com/store/apps/detai···notelurl


BigBlarg

join:2008-02-10
Longueuil, QC
kudos:1
Reviews:
·ELECTRONICBOX
reply to MrBabou
said by MrBabou:

Colisse people, arrêtez de mettre vos vies sur votre 'tite bebelle électronique, et vous allez vous en colisser d'un factory reset de votre téléphone. Heck, vous allez probablement même trouver qu'il roule mieux après!

T'as rien à dire :| Qu'est-ce que tu fais ici? Même si t'as rien à perdre sur ton cell, c'est chiant quand même.

GuiGQc

join:2012-02-22
Gatineau, QC
Chiant la première fois, mais après que t'es habitué, c'est comme reformater un ordi. Ça fait tellement du bien de retrouver la rapidité et moins de bugs.