Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Android : Samsung corrige une faille critique « 0-click » sur les smartphones Galaxy depuis 2014

Android : Samsung corrige une faille critique « 0-click » sur les smartphones Galaxy depuis 2014

Le 11 mai 2020 à 09h49

Le pot aux roses a été découvert par Mateusz Jurczyk de l’équipe Project Zero de Google, comme le rapporte ZDNet. Cette brèche – CVE-2020-8899 – concerne le traitement des images au format Qmage (.qmg) et impacte toutes les versions d’Android 8 à 10.

Elle permet, sans aucune interaction de l’utilisateur, de conduire à « l'exécution possible de code arbitraire à distance », explique Samsung. C’est donc le pire des scénarios. Le National Institute of Standards and Technology (NIST) lui donne un score de 9,8, tandis que Google lui attribue 10/10.

Le chercheur a publié une démonstration vidéo à l’aide d’un simple MMS sur un Galaxy Note10+. Samsung a été prévenu le 28 janvier, tandis que la faille bouchée dans la mise à jour de sécurité Samsung du mois de mai (sous la référence SVE-2020-16747 chez le fabricant). 

Le 11 mai 2020 à 09h49

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est ballot, le S8 vient de perdre les mises-a-jour mensuelles, j’aurai le correctif qu’en juillet <img data-src=" />

votre avatar







deuxfleurs a écrit :



C’est ballot, le S8 vient de perdre les mises-a-jour mensuelles, j’aurai le correctif qu’en juillet <img data-src=" />





C’est “presque” de l’obsolescence programmée…


votre avatar







deuxfleurs a écrit :



C’est ballot, le S8 vient de perdre les mises-a-jour mensuelles, j’aurai le correctif qu’en juillet <img data-src=" />





Et donc Samsung t’encourage à changer de suite ton téléphone pour le S10 qui a reçu la mise à jour !

merci Samsung…



Je ne comprends pas qu’une faille aussi critique que celle la ne fasse pas l’objet d’une mise à jour, même minime ne contenant que cette correction pour TOUS les téléphones y compris les plus vieux, immédiatement…



votre avatar

Ils ont donné un planning de déploiement de ce correctif ?

votre avatar







deuxfleurs a écrit :



C’est ballot, le S8 vient de perdre les mises-a-jour mensuelles, j’aurai le correctif qu’en juillet <img data-src=" />





J’ai le S8. As-tu une source ?


votre avatar

Une info potentiellement utile, d’autant plus dans ce contexte, il y a l’app nommée “snoop snitch” sur android, qui checke si ton téléphone est vraiment à jour en termes de patches logiciels. Parce que, même si saymal, il est arrivé que des fabricants mentent sur le déploiement d’un patch ou ne le déploient qu’en partie.



C’est aussi utile pour les téléphones que ne maintiennent plus à jour leur fabricant, quand on se demande si c’est, ou non, couvert par les MAJ de google. Je me rappelle que le service clients d’ASUS a cessé de me répondre quand, captures d’écran snoopsnitch à l’appui, je leur ai montré qu’ils mentaient et que désormais mon téléphone était vulnérable à des attaques, alors qu’ils disaient que google les couvrait, huhu.

votre avatar
votre avatar







Kalsth a écrit :



Je ne comprends pas qu’une faille aussi critique que celle la ne fasse pas l’objet d’une mise à jour, même minime ne contenant que cette correction pour TOUS les téléphones y compris les plus vieux, immédiatement…





Si un concurent avait l’idee de l’exploiter a grande echelle pour briquer tous les samsung, ils seraient peut-etre obliges de deployer une mise a jour <img data-src=" />


votre avatar

Aucune obligation légale.<img data-src=" />





En plus même quand on leur crache à la figure les clients reviennent donc bon.<img data-src=" />

votre avatar

Quand on vous dit qu’iPhone c’est mieux… 6 ans de patch minimum



Je viens de remplacer justement mon Galaxy S9 par un iPhone SE pour cette raison alors que le projet Android Trebble devait justement faire en sorte que l’OS et le hardware soit distinct pour faciliter les update… encore un mensonge… Malheureusement, tous les fabriquant de smartphone continuent de se cantonner à fournir 3ans max de mise à jour, et uniquement sur des téléphones à 700€ minimum.



J’espère au fond de moi qu’il va y avoir un bon gros piratage bien massif pour mettre en lumière que le suivi des smartphone Android est ridicule.



Quand on voit maintenant qu’on a nos infos perso, compte en banque, photos, calendrier, donné de santé,…. dans nos smartphone aussi troué qu’une tranche d’emmental, ça fait peur…

votre avatar







ForceRouge a écrit :



Quand on vous dit qu’iPhone c’est mieux… 6 ans de patch minimum





On peut en parler: ton téléphone sera mis à jour mais au fur et à mesure, tu ne pourras plus te servir des applications qui ne supporteront plus l’absence de tel ou tel framework déprécié, ou “IOS XXX minimum”.


votre avatar

aaaaah c’est sympa… Les joies d’Android…

votre avatar







patos a écrit :



On peut en parler: ton téléphone sera mis à jour mais au fur et à mesure, tu ne pourras plus te servir des applications qui ne supporteront plus l’absence de tel ou tel framework déprécié, ou “IOS XXX minimum”.







Avant toute chose, je m’en fou de me faire voler par Apple ou Samsung, je ne suis pas pro Samsung, pro iPhone, pro Android ou pro iOS. J’ai alterné entre iOS et Android (HTC One S, iPhone 5S, iPhone 6; Galaxy s9 et iPhone SE) et maintenant, je constate juste qu’Apple, avec iOS est beaucoup plus sérieux.



Quant à la dépréciation d’iOS, je peux te dire que ce que tu dis est complètement faux. L’iPhone 6S, sorti en septembre 2015 a exactement le même iOS que l’iPhone 11, donc à part les features liées au hardware (FaceID par exemple), tous ce qui tourne sur iPhone 11 tourne sur iPhone 6S.



L’iPhone 5S, sorti en Septembre 2013 est resté sous iOS 12 en terme de fonctionnalité, mais continue de recevoir les patch de sécurité (ça va bientôt faire 7 ans…). Quant aux applis, mes enfants l’utilisent pour faire du Facetime et aucune appli refusent de s’installer.


votre avatar

Sur les téléphones qui ne sont plus mis à jour, la désactivation des MMS pourrait-elle empêcher l’attaque ?

votre avatar

Mon S7 Edge vient de recevoir sa dernière màj de sécurité en mars dernier (4 ans après sa sortie). Dommage, il ne sera jamais plus mit à jour et aura donc cette faille (alors qu’il est bien sous android 8, contrairement au S6 qui est resté sur la 7).

À moins qu’exceptionnellement Samsung fasse une màj de sécu pour ça 🤷‍♂

votre avatar







inpactien55 a écrit :



Sur les téléphones qui ne sont plus mis à jour, la désactivation des MMS pourrait-elle empêcher l’attaque ?







Moi de base, je shunte toujours le téléchargement automatique des MMS. Si j’en reçois un d’un numéro inconnu, je télécharge pas.


votre avatar







inpactien55 a écrit :



Sur les téléphones qui ne sont plus mis à jour, la désactivation des MMS pourrait-elle empêcher l’attaque ?









Paratyphi a écrit :



Moi de base, je shunte toujours le téléchargement automatique des MMS. Si j’en reçois un d’un numéro inconnu, je télécharge pas.







Après, si c’est une lib qui sert à afficher des images, n’importe quelle app qui lit des images peut etre un vecteur j’imagine. Whatsapp, une simple page web, une image dans un email, …


votre avatar

Certainement. Mais si on fait gaffe, le risque est gérable.

votre avatar

Pour le suivi des mises à jours il y-a les Google Pixels et tout les téléphones Android One sans surcouche fabricant et opérateurs.

votre avatar







ForceRouge a écrit :



Quant à la dépréciation d’iOS, je peux te dire que ce que tu dis est complètement faux. L’iPhone 6S, sorti en septembre 2015 a exactement le même iOS que l’iPhone 11, donc à part les features liées au hardware (FaceID par exemple), tous ce qui tourne sur iPhone 11 tourne sur iPhone 6S.





Combien de personnes ne mettent pas à jour IOS sur leur téléphone, parce que la dernière fois qu’ils ont fait des mises à jour ils ont eu des problèmes? Des wagons complet….


votre avatar

Chez Apple le problème c’est la dernière mise à jour qui fait ralentir le téléphone et/ou réduit l’autonomie de la batterie il ne faut jamais la faire.



Comment savoir si c’est la dernière&nbsp;? Hum…<img data-src=" />

votre avatar







patos a écrit :



Combien de personnes ne mettent pas à jour IOS sur leur téléphone, parce que la dernière fois qu’ils ont fait des mises à jour ils ont eu des problèmes? Des wagons complet….







Android fanboy spotted. Tu racontes n’importe quoi, comme dans ton commentaire précédent.



Je sais pas ce que tu cherches à faire, mais objectivement, le parc d’iPhone avec iOS est bien plus safe que le parc de téléphone sous Android.







j34n-r0x0r a écrit :



Chez Apple le problème c’est la dernière mise à jour qui fait ralentir le téléphone et/ou réduit l’autonomie de la batterie il ne faut jamais la faire.



Comment savoir si c’est la dernière ? Hum…<img data-src=" />







C’était vrai il y a 4 ans je dirais pour le fait de ralentir / autonomie.



Sauf que ce n’est plus du tout le cas, et dire de ne surtout jamais faire les mise à jour est juste le pire conseil que tu puisses donner.


votre avatar

Moi aussi je trouve qu’Apple est plutôt bon de ce coté la mais ils seraient déjà plus respectable s’ils permettaient de revenir a une version précédente facilement (surtout pour des téléphones en fin de vie).



De plus je fais parti des cons qui lisent les changelogs/se documentent et faire uniquement confiance aux mises a jours c’est parfois une connerie&nbsp;:



-Certaines failles/certains bugs ne sont corrigés qu’a la version suivante mais on en a pas conscience et on prend un risque

-On corrige 2 bugs dans une fonction qui n’est pas utile pour enlever une fonction qui l’est

-…



Les meilleurs moyens restant pour moi de ne pas foutre toute ma vie dedans et de désactiver les fonctions inutiles.

votre avatar







ForceRouge a écrit :



Android fanboy spotted.



C’était vrai il y a 4 ans je dirais pour le fait de ralentir / autonomie.



Sauf que ce n’est plus du tout le cas, et dire de ne surtout jamais faire les mise à jour est juste le pire conseil que tu puisses donner.



Si tu le dis. Je n’en veux pas pour moi mais ce n’est pas pour ça que je crache dessus.

Tu ne dois pas être mieux côté pomme apparemment.

&nbsp;

J’ai beaucoup trop cherché de bons plans pour mes amis/familles qui avait un iphone mis à jour qui ramait du fion pour un usage smartphone. Ceux qui s’en servent de téléphone/lecteur multimédia, eux, n’en ont rien à faire en effet.



Et pourtant, je conseille aux gens de faire les mises à jour, mais je les préviens aussi.

Mais je te l’accorde, un téléphone mise à jour, freiné au moins par négligence technique par le constructeur et dont l’utilisateur ne peut plus normalement s’en servir est bien plus sûr qu’un téléphone dont on a le souhait de faire des choses avec.


votre avatar







patos a écrit :



Si tu le dis. Je n’en veux pas pour moi mais ce n’est pas pour ça que je crache dessus.

Tu ne dois pas être mieux côté pomme apparemment.

 

J’ai beaucoup trop cherché de bons plans pour mes amis/familles qui avait un iphone mis à jour qui ramait du fion pour un usage smartphone. Ceux qui s’en servent de téléphone/lecteur multimédia, eux, n’en ont rien à faire en effet.



Et pourtant, je conseille aux gens de faire les mises à jour, mais je les préviens aussi.

Mais je te l’accorde, un téléphone mise à jour, freiné au moins par négligence technique par le constructeur et dont l’utilisateur ne peut plus normalement s’en servir est bien plus sûr qu’un téléphone dont on a le souhait de faire des choses avec.







Au lieu de parler dans le vent, tu peux donner un exemple? du concret? avec des preuves?


votre avatar
votre avatar







psn00ps a écrit :



iphone







Encore un fanboy.



Si tu clics sur le lien que tu donnes, tu verras que les iPhones sont patché longtemps, qu’Apple refuse de déverouiller leur téléphone pour le FBI et que les failles de sécu sont colmaté pour toute la gamme.



Par contre, j’attends toujours une preuve qu’Apple “freine ses téléphones, au fil des mises à jour, si bien qu’on ne peut plus l’utiliser normalement” (dixit l’autre fanboy)



Android : Samsung corrige une faille critique « 0-click » sur les smartphones Galaxy depuis 2014

Fermer