Navigateur Samsung Internet : une faille critique met les données des utilisateurs en danger
Une mise à jour est conseillée
Samsung Internet ? Oui, c’est bien ça ; il s’agit du navigateur que la firme coréenne installe sur les appareils mobiles qu’elle met à la vente. Il est donc en principe utilisé par ces derniers uniquement. Une faille a été découverte dans les versions inférieures ou égales à 5.4.02.3. Elle permet à des pirates d’entrer en possession des mots de passe, cookies et même identifiants de session des utilisateurs.
La liste des dispositifs concernés par la faille est en réalité plus importante. Samsung a en effet ouvert son navigateur aux appareils Android en général au mois d’octobre. À ce jour, le navigateur est fort d’une centaine de millions de téléchargements sur le Google Play Store et en cela, fait aussi bien que Firefox sur cette plateforme. D’après Mishra Dhiraj, un chercheur en sécurité, le navigateur souffre d’une vulnérabilité qui permet de court-circuiter la protection Same-Origin Policy (SOP). SOP est mis en place pour empêcher qu’une page Web n’accède aux variables et scripts d’une autre page.
Une vidéo de l’attaque est disponible. On peut y voir qu’il suffit qu’un utilisateur ouvre une page piégée qui va alors le rediriger vers le site de Google tout en ouvrant des fenêtres pop-up pour entrer des identifiants. Si l’utilisateur tombe dans le panneau, ces derniers sont transférés vers la page piégée et non vers les serveurs de la firme de Mountain View, comme attendu.
En réponse au signalement du hacker qui remonte au mois de septembre dernier, l’équipe sécurité du constructeur coréen a assuré à ce dernier que la vulnérabilité serait corrigée au mois d’octobre 2017. Samsung a mentionné le Galaxy Note 8 annoncé au mois d’août dernier et, justement, disponible depuis octobre 2017 comme le premier bénéficiaire d’une version du navigateur épurée de la faille. La firme avait également annoncé que l’application disponible via le Google Play Store serait mise à jour. Les versions actuelles de ce navigateur sont donc exemptes de ce « bobo ». Il va simplement falloir procéder aux mises à jour vers ces dernières.
L’urgence de la manœuvre est signalée puisque Mishra a publié un module Metasploit sur GitHub. Les pirates en tout genre disposent donc d’une plateforme logicielle permettant d’effectuer des tests de pénétration et de lancer des attaques sur les dispositifs qui ne seront pas mis à jour.
Sources
Billet de blog Mishra
GitHub
Votre opinion
Faites-vous usage de ce navigateur ? Si oui, l’avez-vous déjà mis à jour ?
Partager