Une série de vulnérabilités affectant Find My Mobile de Samsung aurait pu être enchaînée pour effectuer divers types d’activités sur un smartphone compromis, a révélé un chercheur du fournisseur de services de cybersécurité basé au Portugal Char49 lors de la conférence DEF CON vendredi.

Find My Mobile est conçu pour aider les utilisateurs à retrouver les téléphones Samsung perdus. Il peut également être utilisé pour verrouiller à distance un appareil, bloquer l’accès à Samsung Pay et effacer complètement le téléphone s’il «tombe entre de mauvaises mains».

Selon Char49, il y avait un total de quatre vulnérabilités dans les composants Find My Mobile et ils auraient pu être exploités par une application malveillante installée sur l’appareil ciblé.

Pedro Umbelino, le chercheur Char49 qui a trouvé les failles, a déclaré SecurityWeek l’application malveillante ne nécessiterait l’accès qu’à la carte SD de l’appareil afin d’exploiter la première vulnérabilité de la chaîne et de créer un fichier permettant à l’attaquant d’intercepter les communications avec les serveurs principaux.

Une exploitation réussie des vulnérabilités aurait permis à une application malveillante d’effectuer toute action que l’application Find My Mobile pourrait effectuer, y compris forcer une réinitialisation d’usine, effacer les données, suivre l’emplacement de l’appareil en temps réel, récupérer les appels téléphoniques et les messages, et verrouiller et déverrouillez le téléphone.

L’exploit a été reproduit avec succès sur les appareils Samsung Galaxy S7, S8 et S9 + avant que le fournisseur ne publie un correctif.

Char49 a dit SecurityWeek que les vulnérabilités ont été découvertes il y a plus d’un an, mais Samsung ne les a corrigées que fin octobre 2019, et la société de sécurité voulait attendre 9 mois avant de rendre les détails publics.

«Cette faille, après configuration, peut être facilement exploitée et avec des implications graves pour l’utilisateur et avec un impact potentiellement catastrophique: déni de service permanent via le verrouillage du téléphone, perte complète de données avec réinitialisation d’usine (carte SD incluse), implication sérieuse de la confidentialité via IMEI et emplacement…

Voir la source de cette publication