Grâce à une faille Zero-Day dans le service Find My Mobile des appareils Samsung, un hacker avait la possibilité de prendre le contrôle à distance d’un appareil. Le fabricant a déjà colmaté la vulnérabilité.
C’est tout récemment que le chercheur en sécurité Mohamed Abdelbaser Elnoby a dévoilé l’existence d’une faille Zero-Da dans le service Find My Mobile des appareils mobiles Samsung. Grâce à cette vulnérabilité critique, une personne malveillante a la possibilité de prendre le contrôle distant des appareils, de les verrouiller, de les faire sonner, de les bloques, d’accéder à l’ensemble de son contenu, etc.
Heureusement que son exploitation n’était pas si simple vu que l’utilisateur doit être en ligne et connecter au service findmymobile.samsung.com pour que le pirate lui envoie une URL malveillante vers une page contaminée qui exploite la faille. Dans une vidéo, le chercheur fait une démonstration de la méthode en verrouillant à distance un smartphone selon le principe du ransomeware.
On apprend aujourd’hui que Mohamed Abdelbaser Elnoby a publiquement annoncé cette faille après que Samsung ait déployé un correctif vu qu’un patch est proposé depuis le 13 octobre dernier.
Il est encore à préciser que Mohamed Abdelbaser Elnoby indique avoir découvert des failles du même genre sur des services similaires proposés par d’autres constructeurs. Il ne précise pas lesquels tant que ceux-ci n’ont pas déployé de correctif ?