Une faille de sécurité repérée dans les smartphones Samsung sortis depuis 2014

CYBERSECURITE Le constructeur propose d’ores et déjà une mise à jour pour remédier au problème

Jennifer Mertens pour 20 Minutes

— 

Une faille de sécurité repérée dans les smartphones Samsung
Une faille de sécurité repérée dans les smartphones Samsung — Geeko

Le chercheur en cybersécurité Mateusz Jurczyk a mis en lumière une vulnérabilité de longue date au sein des smartphones de Samsung. La faille se situe au niveau du format Qmage (. qmg), pris en charge depuis 2014 par les téléphones du constructeur sud-coréen. Cette vulnérabilité représente un risque pour les appareils Samsung puisqu’elle permet à un pirate d’installer un malware sur le téléphone sans éveiller les soupçons de son propriétaire.

Dans son rapport, le chercheur provenant de l’équipe Projet Zero de Google a expliqué comment il était possible d’exploiter le défaut de sécurité des téléphones. Dans les faits, le pirate doit faire en sorte de contourner les protections ASLR (Address Space Layout Randomization) de la bibliothèque Skia, soit l’endroit où toutes les images reçues sont envoyées pour traitement. Pour cela, il doit envoyer plusieurs MMS contenant un malware caché dans une image Qmage. Une fois dans la bibliothèque Skia, le malware peut se déployer sur le téléphone à l’insu de son propriétaire.

Samsung a vite corrigé le problème

L’exploitation de la faille est particulièrement préoccupante puisqu’elle ne nécessite aucune intervention humaine, aucun clic. « J’ai trouvé des moyens d’obtenir un traitement complet des messages MMS sans déclencher un son de notification sur Android, donc des attaques totalement furtives pourraient être possibles », a expliqué Mateusz Jurczyk.

Le chercheur a évidemment prévenu le constructeur sud-coréen. Une mise à jour de sécurité est proposée sur les téléphones Samsung de 2014 à aujourd’hui. Il est évidemment conseillé d’installer la mise à jour de sécurité de mai, d’autant plus que la faille a été rendue publique. Des pirates informatiques pourraient essayer d’en profiter avant qu’elle ne soit comblée.

Pour vérifier si une mise à jour est disponible sur votre téléphone, il faut se rendre les paramètres de celui-ci, onglet « À propos de l’appareil » et « Mise à jour logicielle ».