|
|
Comment protéger votre smartphone Android contre l'effacement
Guillaume Champeau -
publié le Mercredi 26 Septembre 2012 à 12h26 -
posté dans High-Tech
 Plusieurs smartphones sous Android, en particulier chez Samsung, peuvent être effacés à distance par un simple code HTML. S'il n'existe pas encore de correctif officiel, heureusement, il y a une application pour ça...
Hier, nous rapportions que plusieurs téléphones Samsung sont victimes d'une faille aux conséquences fâcheuses, puisqu'elle permet d'effacer le contenu du smartphone à distance par un simple code HTML, sans aucune intervention de l'utilisateur. Le problème serait dû à l'installation de la surcouche TouchWiz sur les téléphones Android, et serait donc présent sur différentes implémentations du système d'exploitation de Google, y compris sur les récents Galaxy S3. Les Galaxy Beam, S Advance, Galaxy Ace, et Galaxy S2 font aussi partie des téléphones potentiellement impactés, selon la ROM Android installée. Le problème serait que TouchWiz autoriserait l'exécution de codes sur le pavé téléphonique virtuel, sans demander l'autorisation à l'utilisateur. C'est ce qui permet d'envoyer sur le téléphone le code conçu pour les SAV, qui permet de réinitialiser le téléphone vers ses réglages d'usine. Lorsque ce code est exécuté, l'utilisateur ne peut plus rien faire pour arrêter le formatage du mobile. Malheureusement, Samsung n'a pas encore déployé de correctif. Mais via les commentaires sous notre article, Hardmadcore nous apprend qu'un développeur a créé une application disponible gratuitement sur Google Play, qui permet d'éviter les formatages intempestifs. Son principe est tout simple, mais il fallait y penser. Pour exécuter l'ordre de réinitialisation, le code HTML demande au navigateur de charger l'adresse "tel:*2767*3855%23". C'est le préfixe "tel" qui signale au téléphone qu'il faut utiliser le pavé téléphonique pour saisir le code. L'application, baptisée TelStop, oblige donc Android à demander à l'utilisateur de choisir quelle application utiliser lorsqu'une adresse avec le préfixe "tel" doit être chargée. S'il a confiance, l'utilisateur peut choisir d'exécuter le code sur le pavé du téléphone. Sinon, il lance TelStop, qui se charge de vérifier l'intégrité du code. L'application dit alors si le code "paraît acceptable", ou s'il est "probablement malicieux".
à lire aussi
  Prix indiqués avec livraison
27
Commentaires à propos de «Comment protéger votre smartphone Android contre l'effacement»
Inscrit le 27/10/2008
284 messages publiés
Envoyer un message privé
J_P_M
le 26/09/2012 à 12:47
Bravo ! On va pouvoir se ruiner en achetant le Galaxy S3. Justement, j'hésitais...
Répondre
vous avez AVG pour smartphone et en + il te permet de localiser ton phone en cas de vol ou perte
passe ici [message édité par aktarus.02 le 26/09/2012 à 13:09
]
Il suffit d'installer un autre launcher que touchwizz, de prendre un galaxy nexus ou de prendre une autre marque et ya pas de problème c'est ca ?
flob, le 26/09/2012 - 13:18 Rôôôô... une bonne petite raz de temps, ça nettoie, non ? 
mosquito33, le 26/09/2012 - 13:27 
comment tester simplement le fonctionnement de telstop ?
edit : et sans risque lol [message édité par Maxxx le 26/09/2012 à 13:50
]
mosquito33, le 26/09/2012 - 13:27 C'est bien vrai, quand tu regardes tout ce qui traine dans les fichiers sqlite de FF, tu te dis juste que c'est très simple de te suivre, et puis le webappsstore, c'est bien mieux que les cookies. 
Il est déjà même en cours de déploiement, seul problème c'est que samsung ne communique pas sur les anciens modèles comme le S1,S2 ou Ace. Perso j'ai installé l'appli sur le store, elle fonctionne correctement, en analisant le code on se rend compte qu'elle reste ouverte et "catch" la commande précise, Testé sur http://www.device-reset.com et tout est nickel. PS: Il n'y à pas que les samsung mais aussi quelques HTC non mis à jour, ce n'est pas forcément propre à samsung et touchwiz: http://dylanreeve.po...ot-just-samsung [message édité par hardmadcore le 26/09/2012 à 14:14
]
hardmadcore, le 26/09/2012 - 14:13 C'est propre aux smartphones pour lesquels le constructeur a implémenté un USSD qui permet de déclencher des actions dommageables. Pour l'instant, je ne l'ai lu nulle part qu'un autre constructeur que Samsung l'a fait. Ca ne prouve évidemment rien, il est possible que d'autres constructeurs l'aient fait. L'article de ton lien, par exemple, ne prouve pas qu'il y a un problème. Qu'un site web soit en mesure de forcer l'affichage de mon IMEI sur mon téléphone, c'est cool, mais si le téléphone ne reconnaît aucun USSD déclenchant une action dommageable, ça me fait une belle jambe... 
Si je ne m'abuse, ça constitue un joli botnet pour le harcèlement téléphonique et l'appel de numéros surtaxés?
Android Central propose un test exploitant la vulnérabilité et consistant à afficher l'IMEI du téléphone > http://www.androidce...l.com/ussd-test
Avec mon LG P990 sous Cyanogen 7.2, le code (non)malicieux du test s'exécute et m'affiche bien mon IMEI. [message édité par Maternelle 1 le 26/09/2012 à 16:00
]
freechelmi, le 26/09/2012 - 14:32 J'ai un motorola dext, et meme probleme (rom cyanogen (android 2.5) ), donc effectivement le probleme vient d'android et non de samsung. 
flob, le 26/09/2012 - 13:18 en attendant son arrivé telstop sera activé sur mon S2
odoc, le 26/09/2012 - 16:33 Vous n'avez définitivement rien compris. Oui, android lance les tel: automatiquement, c'est une fonctionnalité. En revenche, Samsung lance directement la procédure de reset sans appuyer sur 'appeller'.
milord, le 26/09/2012 - 14:25 C'est propre aux smartphones pour lesquels le constructeur a implémenté un USSD qui permet de déclencher des actions dommageables ET dont les USSD se déclenchent tout seul, sans appui sur la touche valider (TouchWizz valide automatiquement les USSD, sans appuyer sur la touche valider.) Je crois que il y a une incompréhension générale, et que en effet, seul les Samsung avec TouchWizz sont touchés (que seul TouchWizz valide automatiquement les USSD). Après je me trompe peut être sur ce point.
Pretarian, le 26/09/2012 - 19:42  
Bon, j'ai testé sur mon Galaxy S3, apparemment, je suis safe... Il n'exécute pas les codes USSD sans que je lui dise de le faire. Le test posté plus haut me fait apparaitre le clavier téléphone, mais n'exécute pas de code USSD.
Anzufvytar, le 27/09/2012 - 01:35 la meme pour moi avec un s3 rooter avec la rom d origine Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 11 offres à partir de 127 €
 35 offres à partir de 125 €
Télécharger
ground control,
navigateur web firefox,
pro evolution soccer,
total video converter,
linux,
redtube video downloader,
navigateur web tor,
windows 7 gratuit,
Accès rapide :
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
|
![eMule 0.42g [Tritant]](http://images.numerama.com/img/s/t6331-35-37-emule-042g-tritant.JPG)
