À l’occasion de la conférence BlackHat Security Summit qui se tient à Londres du 16 au 18 juin 2015 à Londres, Ryan Welton de NowSecure a dévoilé une vulnérabilité affectant les smartphones Samsung depuis 2014.
En cause, le clavier virtuel SwiftKey, qui est installé par défaut sur les smartphones Samsung, pour sa capacité impressionnante à deviner les mots que l’utilisateur souhaite entrer, ce qui accélère l’écriture de messages.
Quand SwiftKey recherche des mises à jour pour des packs de langues, la recherche n’est pas chiffrée.
Il est donc possible de créer un faux serveur de mise à jour, qui fait télécharger des logiciels malveillants à la place de mises à jour légitimes, avec des pseudo-autorisations qui laissent ces logiciels malveillants installés et utilisables à l’insu du possesseur du smartphone.
On peut alors imaginer les pires scénarios, comme le vol de données personnelles, d’informations de cartes de crédit, de mots de passe pour les services bancaires, etc.
Ce qui est étonnant, c’est que Welton en a informé Samsung en novembre 2014. L’entreprise avait déjà mis quatre mois à fournir un correctif.
Et pourtant, les smartphones les plus récents comme le Galaxy S6 sont toujours vulnérables, même si l’attaquant doit désormais se trouver sur le même réseau que la victime, ce qui complique la tâche.
On pourrait croire que la faute incombe à SwiftKey, mais ses applis téléchargées à partir de Google Play ou de l’App Store ne sont pas vulnérables.
Il s’agit donc bien de la manière spécifique dont le logiciel est intégré aux Samsung.
Malheureusement pour les possesseurs, inutile d’espérer désinstaller le SwiftKey pour le remplacer par la version de Google Play.
Comme avec les autres smartphones sous Android, les utilisateurs sont à la merci de leur opérateur téléphonique, qui décide des mises à jour et du calendrier des mises à jour à octroyer à ses clients. En règle générale, il faut des mois à un opérateur pour valider la mise à jour du micrologiciel d’un fabricant.
Dans les faits, la probabilité de se faire pirater est minime, puisqu’il faut être connecté à un réseau Wi-Fi malveillant et que l’appli SwiftKey décide de vérifier les mises à jour à ce moment-là.