Samsung Galaxy : une vulnérabilité découverte dans le clavier Swiftkey
publié le 17 juin 2015 à 16h45.
Le clavier alteratif Swiftkey
Les chercheurs en sécurité de NowSecure ont découvert une faille affectant l’application Swiftkey installée sur les Samsung Galaxy.
Si vous possédez un smartphone ou une phablette Samsung Galaxy, ce qui va suivre risque de vous faire un peu peur. Un chercheur en sécurité informatique a découvert une faille de sécurité critique qui touche les Samsung Galaxy S6, S5, S4 et S4 Mini, S3 ou encore les Galaxy Note 3 et Note 4. Une faille qui utilise le clavier alternatif Swiftkey comme porte d’entrée.
Les Samsung Galaxy vulnérables à cause de Swiftkey
C’est Ryan Welton, expert en sécurité chez NowSecure qui est le premier à avoir découvert fin 2014 cette faille qui touche l’application Swiftkey. La faille exploiterait la recherche de mise à jour pour les paquets linguistiques du logiciel en utilisant une connexion non sécurisée.
Mobile security alert: #samsung device keyboard vulnerability affects millions of phones https://t.co/09MCRLs199
— NowSecure (@NowSecureMobile) June 16, 2015
N’importe qui peut alors profiter de cette connexion non chiffrée pour faire transiter des fichiers malveillants prenant la forme d’une fausse mise à jour. Le hacker pourra ensuite avoir accès à l’appareil photo, au module GPS ou encore au micro du smartphone infecté. Il sera également d’installer des applications infectées sur l’appareil à l’insu de l’utilisateur du téléphone piraté. Le hacker aura également tout loisir d’espionner les conversations téléphoniques ou les SMS.
Une faille corrigée, mais toujours active
Ryan Welton a tenu à préciser que seule la version installée d’office sur les smartphones Samsung est concernée par cette vulnérabilité. Les versions téléchargeables sur le Google Play ou l’App Store d’Apple ne sont pas vérolées.
La faille, découverte en décembre 2014, a depuis été corrigée par Samsung via une mise à jour de l’application Swiftkey. Reste maintenant à savoir si tous les opérateurs ont déployé cette dernière d’autant qu’il n’y a aucun moyen simple de vérifier si son Samsung Galaxy a été patché ou non. Plus de 600 millions de smartphones Samsung sont potentiellement concernés par cette faille dans Swiftkey.