Un chercheur en sécurité informatique à trouver un gros problème dans la gestion de certain URI dans les navigateurs Android. L’attaque est tristement simple : le RFC 3966 permet à une page web de demander au navigateur de composer un numéro de téléphone avec une commande de type <a href=”tel:+412212345678”>numéro </a>. Si plutôt que de composer un numéro légitime la page web contient un code de type <a href=”tel:*#06#”>IMEI </a> , le téléphone affichera son numéro d’identification. Maintenant, il existe beaucoup d’autres commandes qui peuvent être entrées par ce biais tel que le formatage du téléphone ou bien la désactivation de la carte SIM. Pour voir si votre téléphone est vulnérable à l’attaque, allez sur http://dylanreeve.com/phone.php si votre téléphone vous demande une confirmation avant de composer le numéro, vous êtes en sécurité ; si votre téléphone affiche votre IMEI alors votre téléphone est vulnérable à l’attaque. Pour l’instant seul Samsung a sorti un patch qui permet réparer ce bug. |