Passer un coup de fil, envoyer ou lire un SMS, envoyer ou lire un email, installer des applications en douce, etc. Apparemment, il n’y a pas grand-chose qu’un hacker un peu doué et mal intentionné ne peut pas faire avec votre terminal Samsung. Car, à en croire le chercheur en sécurité italien Roberto Paleari, les appareils du sud-coréen sont bourrés de failles zero-day pas très compliqués à trouver. Lui-même en a facilement déniché six, dans des appareils récents (Galaxy S3) et plus anciens (Galaxy Tab GT-P1000). Elles permettent de réaliser toutes les actions citées ci-dessus, sans que l’utilisateur s’en aperçoive. Une démonstration vidéo est disponible en ligne, sur le blog du chercheur.Samsung manque de réactivité
Toutes ces vulnérabilités ne sont pas liées à Android, mais à la surcouche logicielle de Samsung. Roberto Paleari a prévenu le fabricant sud-coréen en janvier dernier, mais celui-ci ne semble pas être pressé pour colmater les failles. Il indique à l’informaticien italien que « tous les patchs doivent d’abord être approuvés par les opérateurs » et que d’ici là, ce serait bien qu’il ne publie rien sur ces vulnérabilités. Une demande que le chercheur italien trouve bien exagéré : compte tenu du temps très long que cela va prendre et de la grande popularité des terminaux Samsung, beaucoup d’utilisateurs seront exposés à ce risque. Il a donc décidé d’informer le public sur l’existence de ces failles, sans pour autant dévoiler de détails techniques. Et il suggère à Samsung de « modifier un peu » ses procédures de gestion des vulnérabilités, qui sont visiblement bien trop compliquées.
