Plusieurs smartphones sous Android, en particulier chez Samsung, peuvent être effacés à distance par un simple code HTML. S'il n'existe pas encore de correctif officiel, heureusement, il y a une application pour ça...

Hier, nous rapportions que plusieurs téléphones Samsung sont victimes d'une faille aux conséquences fâcheuses, puisqu'elle permet d'effacer le contenu du smartphone à distance par un simple code HTML, sans aucune intervention de l'utilisateur. Le problème serait dû à l'installation de la surcouche TouchWiz sur les téléphones Android, et serait donc présent sur différentes implémentations du système d'exploitation de Google, y compris sur les récents Galaxy S3. Les Galaxy Beam, S Advance, Galaxy Ace, et Galaxy S2 font aussi partie des téléphones potentiellement impactés, selon la ROM Android installée. 

Le problème serait que TouchWiz autoriserait l'exécution de codes sur le pavé téléphonique virtuel, sans demander l'autorisation à l'utilisateur. C'est ce qui permet d'envoyer sur le téléphone le code conçu pour les SAV, qui permet de réinitialiser le téléphone vers ses réglages d'usine. Lorsque ce code est exécuté, l'utilisateur ne peut plus rien faire pour arrêter le formatage du mobile.

Malheureusement, Samsung n'a pas encore déployé de correctif. Mais via les commentaires sous notre article, Hardmadcore nous apprend qu'un développeur a créé une application disponible gratuitement sur Google Play, qui permet d'éviter les formatages intempestifs. Son principe est tout simple, mais il fallait y penser.

Pour exécuter l'ordre de réinitialisation, le code HTML demande au navigateur de charger l'adresse "tel :*2767*3855%23". C'est le préfixe "tel" qui signale au téléphone qu'il faut utiliser le pavé téléphonique pour saisir le code. L'application, baptisée TelStop, oblige donc Android à demander à l'utilisateur de choisir quelle application utiliser lorsqu'une adresse avec le préfixe "tel" doit être chargée. S'il a confiance, l'utilisateur peut choisir d'exécuter le code sur le pavé du téléphone. Sinon, il lance TelStop, qui se charge de vérifier l'intégrité du code. L'application dit alors si le code "paraît acceptable", ou s'il est "probablement malicieux".

 

Partager sur les réseaux sociaux

Articles liés