Pour ceux qui possèdent un téléphone ou une tablette Samsung Galaxy, le service Find My Mobile offre une tranquillité d’esprit indispensable. C’est encore plus vrai maintenant que Samsung y a corrigé plusieurs vulnérabilités critiques.
Tant qu’un appareil dispose encore d’une connexion de données, Find My Mobile permet aux utilisateurs de le localiser sur une carte. Ils peuvent être signalés comme perdus et verrouillés à distance ou même complètement effacés pour empêcher les regards indiscrets d’accéder aux fichiers sensibles et aux données personnelles.
C’est une fonctionnalité incontournable étant donné notre dépendance toujours croissante aux téléphones pour les opérations bancaires, les paiements et les communications confidentielles. C’est pourquoi les nouvelles des vulnérabilités récemment signalées dans Find My Mobile sont si effrayantes.
Les chercheurs en sécurité de Char49, basé au Portugal, ont découvert plusieurs failles (Lien PDF) dans l’application qui aurait pu être utilisée abusivement avec un effet dévastateur. « Chaque action que l’utilisateur peut effectuer […] peut être abusé par une application malveillante », rapporte Pedro Umbelino.
Cela signifie qu’une attaque réussie permettrait à un pirate informatique de suivre l’emplacement de l’appareil, de récupérer les données d’appel et les messages texte, de verrouiller l’appareil avec un code et d’effacer toutes les données.
Umbelino présente un scénario d’attaque de type « homme du milieu » dans lequel un pirate informatique incite un utilisateur à installer une application malveillante sur son appareil. Cette application permet de rediriger les commandes qui doivent être envoyées aux serveurs de Samsung depuis Find My Mobile vers des serveurs sous le contrôle de l’attaquant.
Pour réussir à compromettre un appareil Galaxy à l’aide de la preuve de concept de Char49, un attaquant doit enchaîner les exploits pour quatre vulnérabilités au total. C’est clairement faisable, cependant, comme Umbelino et ses coéquipiers l’ont démontré.
Si une équipe de chapeaux blancs (hackers éthiques) a compris cela, il est tout à fait possible que les cybercriminels l’aient fait.
La bonne nouvelle est que dans ce cas particulier, Char49 a divulgué ses conclusions à Samsung. Les vulnérabilités ont été jugées si graves que Samsung a décidé de ne pas publier les rapports de vulnérabilité publiquement.
En fait, les failles ont été signalées il y a environ un an. Samsung les avait tous réparés et patchs publiés en octobre 2019 mais a demandé une attente de neuf mois avant que Char49 ne publie son rapport.
C’est un assez bon indicateur de la gravité de ce problème par Samsung. Espérons que la longue attente a permis aux mises à jour de se répercuter sur tous les appareils Galaxy qui ont été touchés.
.