lundi 18 novembre 2019    || Inscription
BanniereNews
 
 

L’attaque qui peut supprimer toutes les données des téléphones Android, peut également bloquer une carte SIM... à vie.

Retour sur la faille de la semaine dont nous vous avons déjà parlé mardi. Rappelons que le chercheur en sécurité Ravi Borgaonkar a démontré lors de l’Ekoparty la possibilité de supprimer toutes les données du Galaxy S III à distance. L’attaque peut être lancée à partir d’une page web qui charge un identifiant URI (identifiant uniforme de ressource) avec un code usine spécifique. Si la page est visitée par un terminal vulnérable, l’application d’appel exécute automatiquement le code et restaure entièrement le téléphone avec ses réglages usine. 

Plusieurs téléphones Samsung sous Android dont le Samsung Galaxy S III, Galaxy S II, Galaxy Beam, S Advance, and Galaxy Ace sont vulnérables puisqu’ils acceptent le code usine spécifique. Borgaonkar a montré qu’un terminal peut être forcé d’ouvrir un lien vers une telle page via les manoeuvres suivantes :

  • approcher d'un tag NFC malveillant avec un téléphone compatible NFC;
  • scanner un code QR;
  • inclure un lien vers cette page -dans un SMS WAP push, un SMS normal, un tweet, ou un mail- et inciter l’utilisateur à ouvrir ce lien.

Les utilisateurs de téléphones mobiles ont la possibilité d’exécuter des commandes spéciales sur leur téléphone en tapant certains codes grâce à l’interface d’appel. Ces codes sont saisis entre deux caractères # et sont appelés USSD (service supplémentaire pour données non structurées), ils permettent d’accéder à des services fournis par l’opérateur (par exemple relevé conso) ou à certaines fonctions du téléphone en local (comme changer de code pin). Les utilisateurs ayant installés Jelly Beans, la version 4.1 d’Android, ne sont pas concernés par cette vulnérabilité, bien que Jelly Beans ne concerne que les smartphones débloqués. Ceux qui ont acheté le terminal avec un abonnement devront attendre que leur opérateur propose la mise à jour.

Les mobiles ne répondent pas tous aux mêmes codes mais certains codes sont plus ou moins standards comme *#06# : un code quasiment universel pour afficher le numéro IMEI d’un terminal Android. Toutefois les mobiles Samsung ne sont pas les seuls concernés par l’attaque qui réinitialise les téléphones dans leurs réglages usines. D’autres terminaux, comme le HTC Desire et le HTC One X, sont également vulnérables.

Pour vérifier si votre téléphone peut être la cible d'une attaque USSD, vous pouvez vous connecter sur http://dylanreeve.com/phone.php et dans le cas où votre mobile serait vulnérable l’application Telstop, développée par Collin Mulliner, vous protégera de cette faille.

Des attaques peuvent condamner une carte SIM

Par ailleurs les codes usines ne sont pas les seuls qui sont dangereux. Pendant sa présentation, Borgaonkar a mentionné que des attaques similaires peuvent être utilisées pour « condamner » une carte SIM.

Cela est rendu possible par les codes IHM qui permettent de changer le code PIN de sa carte SIM. Si le code est exécuté plusieurs fois avec le mauvais code code PUK, la carte SIM est bloquée de façon permanente et l’utilisateur n’a plus qu’à en obtenir une autre auprès de son opérateur.

Au lieu d’utiliser une URI téléphone avec le code usine formateur dans une iFrame (code à insérer dans une page pour en appeler une autre) comme Borgaonkar, un pirate pourrait insérer 10 iFrames avec le nouveau code PIN et un mauvais code PUK sur une page web malveillante pour bloquer définitivement la carte SIM d'un utilisateur.

De plus, contrairement à un code usine formateur qui est seulement supporté par quelques terminaux, la plupart des téléphones Android sont concernés par le changement de code PIN puisque c’est une caractéristique standardisée de la carte SIM. Ainsi, Collin Mulliner, l'expert en sécurité mobile qui a créé Telstop, estime que le problème de la carte SIM est bien plus important que celui des codes usines formateurs. En effet, il faudrait que tous les opérateurs désactivent cette fonctionnalité et ils sont en général assez lents pour diffuser des correctifs à leurs utilisateurs.

Néanmoins Samsung a déjà réglé le problème des failles USSD/MMI pour le Galaxy S III et conseille à ses clients de vérifier si les dernières mises à jour logicielles ont bien été effectuées.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS