Samsung Galaxy
En début de semaine, on apprenait l’existence d’une vulnérabilité majeure touchant le clavier virtuel Swiftkey préchargé sur un grand nombre de smartphones Samsung. Cette faille de sécurité permet, lors d’une mise à jour de l’application, d’installer un logiciel capable d’accéder à l’intégralité des fonctions et capteurs du terminal mobile. D’après les estimations de la firme NowSecure, qui a dévoilé la brèche ce 16 juin avec une démonstration à l’appui, quelques 600 millions d’appareils seraient touchés.
Tout en assurant qu’aucun cas de piratage n’avait été recensé à cette date, Samsung annonce avoir développé un correctif qui sera déployé « dans les prochains jours » sur tous les smartphones Galaxy équipés de la plate-forme Knox. C’est notamment le cas du S4, du S5 et du S6. En plus d’offrir des protections supplémentaires comme la surveillance en temps réel du noyau, Knox est effectivement capable de forcer la modification des politiques de sécurité des appareils sur lesquels il est installé. C’est cette aptitude qui sera mise à profit, selon ITespresso.
Pour les autres modèles, la communication est plus laconique. Tout au plus nous affirme-t-on qu’une nouvelle version du firmware est dans les tuyaux, sans échéance de diffusion. Dans l’absolu, il faudra d’abord que les opérateurs veuillent bien relayer la mise à jour sur les téléphones qu’ils ont vendus.
C’est précisément ce qui avait contrarié, en début d’année, la diffusion d’un premier patch. Mais pour Samsung, il n’y a pas péril en la demeure : « de nombreuses conditions doivent être réunies » pour que la faille devienne exploitable.
Le pirate doit en l’occurrence se trouver sur le même réseau non sécurisé que le mobinaute, lequel doit par ailleurs télécharger une mise à jour linguistique de Swiftkey. Les paquets transmis en clair peuvent alors être interceptés (attaque de type « Man-in-the-middle ») et remplacés par un malware qui s’installera avec des droits étendus.
A lire aussi :
Test du Galaxy S6 : Samsung passe un cap
Samsung Knox est-il aussi sûr que Fort Knox ?
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.