crédit photo © Slavoljub Pantelic - shutterstock
Roberto Paleari, un chercheur informatique italien, révèle sur son blog que les terminaux Samsung sous Android sont victimes de larges failles de sécurité. Du moins ceux qu’il a utilisés à titre personnel, à savoir les Galaxy S3 et Galaxy Tab GT-P1000.
« Toutes les vulnérabilités que je signale peuvent être exploitées à partir d’une application locale sans privilège », déclare le jeune chercheur. Autrement dit, les attaques des terminaux ne nécessitent aucun privilège particulier. « Cela permet à des attaquants de cacher le code d’exploitation à l’intérieur d’une application à faible niveau de privilège (et apparemment bénigne) distribuée par Google Play ou sur le store de Samsung », écrit-il.
Il en résulte un risque de prise de contrôle à distance du terminal, sans intervention de l’utilisateur, la possibilité d’envoyer des SMS sans la permission d’Android (ce qui est contraire à son fonctionnement) mais aussi des e-mails, ainsi que la capacité à changer les paramètres réseau.
Pour Roberto Paleari, il ne fait aucun doute que « toutes ces failles ont été causées par les logiciels spécifiques ou les personnalisations apportés par Samsung [dans Android] ».
Contacté mi-janvier, Samsung n’a pas fait de retour officiel au chercheur. Tout en lui demandant d’attendre que les correctifs soient disponibles, notamment auprès des opérateurs, avant de divulguer les vulnérabilités.
De son côté, le chercheur n’a pas publié les détails de ses découvertes pour éviter d’exposer les utilisateurs des terminaux Samsung, justifie-t-il. Il propose néanmoins une vidéo sur son site montrant la faisabilité d’un des six exploits trouvés (l’installation d’une application avec des privilèges administrateur).
Selon Roberto Paleari, « la plupart des failles signalées à Samsung sont faciles à trouver [en ligne] » et qu’il espérait l’arrivée rapide des correctifs alors que « ces bogues peuvent être corrigés assez facilement ». Une attente qui le rend pessimiste sur la distribution prochaine des patches en question. Peut-être la publication de son article va-t-elle maintenant accélérer la distribution des mises à jour chez Samsung.
Crédit photo © Slavoljub Pantelic – Shutterstock
En images : Le Samsung Galaxy S4 en images
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…