Une faille dans le service « Find My Mobile » des terminaux Samsung

Les terminaux de la gamme Galaxy de Samsung disposent d’un service permettant de localiser le smartphone en cas de perte ou de vol et d’en prendre le contrôler à distance. Une faille zero-day au sein de ce service qui est censé protéger les utilisateurs a été découverte et permettrait à des pirates d’organiser un chantage à grande échelle.

samsung galaxy s5 mini

Une faille qui permettrait à des pirates de faire du chantage

Le service « Find My Mobile » permet aux utilisateurs de terminaux Samsung de la gamme Galaxy de localiser leur terminaux. Un service très apprécié et utile en cas de perte ou de vol du terminal. En effet, il est possible de le retrouver, de le désactiver à distance, de le faire sonner ou d’envoyer un SMS qui s’affiche sur le terminal à partir d’un page Web et d’un accès au service dédié. Une faille a été découverte récemment au sein de ce service et des pirates pourraient organiser un chantage à grande échelle auprès des utilisateurs.

Les tablettes et smartphones de la gamme Galaxy sont concernés

Les personnes malveillantes, en accédant à cette faille zero-day peuvent lancer des attaques de type « cross-site request forgery » (CSRF). Les hackers poussent les victimes à charger une page contenant un script malveillant, permettant ainsi d’usurper l’identité de l’utilisateur et avoir accès à ses données privées. Le pirate envoie ensuite un lien vers une page Internet et lui propose de débloquer son smartphone moyennant une certaine somme. Une action de chantage pur et simple. Des experts en sécurité indiquent que cette faille pourrait avoir des conséquences catastrophiques dans la mesure où elle peut atteindre un grand nombre de personnes en même temps. Il est vivement conseillé d’éviter d’utiliser cette fonction et ce service pour le moment en attendant un correctif et des nouvelles de Samsung. L’idéal étant de désactiver la fonction « Find My Mobile ».

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here