IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Navigateur Samsung Internet : une faille critique met les données des utilisateurs en danger
Une mise à jour est conseillée

Le , par Patrick Ruiz

362PARTAGES

10  0 
Samsung Internet ? Oui, c’est bien ça ; il s’agit du navigateur que la firme coréenne installe sur les appareils mobiles qu’elle met à la vente. Il est donc en principe utilisé par ces derniers uniquement. Une faille a été découverte dans les versions inférieures ou égales à 5.4.02.3. Elle permet à des pirates d’entrer en possession des mots de passe, cookies et même identifiants de session des utilisateurs.

La liste des dispositifs concernés par la faille est en réalité plus importante. Samsung a en effet ouvert son navigateur aux appareils Android en général au mois d’octobre. À ce jour, le navigateur est fort d’une centaine de millions de téléchargements sur le Google Play Store et en cela, fait aussi bien que Firefox sur cette plateforme. D’après Mishra Dhiraj, un chercheur en sécurité, le navigateur souffre d’une vulnérabilité qui permet de court-circuiter la protection Same-Origin Policy (SOP). SOP est mis en place pour empêcher qu’une page Web n’accède aux variables et scripts d’une autre page.

Une vidéo de l’attaque est disponible. On peut y voir qu’il suffit qu’un utilisateur ouvre une page piégée qui va alors le rediriger vers le site de Google tout en ouvrant des fenêtres pop-up pour entrer des identifiants. Si l’utilisateur tombe dans le panneau, ces derniers sont transférés vers la page piégée et non vers les serveurs de la firme de Mountain View, comme attendu.


En réponse au signalement du hacker qui remonte au mois de septembre dernier, l’équipe sécurité du constructeur coréen a assuré à ce dernier que la vulnérabilité serait corrigée au mois d’octobre 2017. Samsung a mentionné le Galaxy Note 8 annoncé au mois d’août dernier et, justement, disponible depuis octobre 2017 comme le premier bénéficiaire d’une version du navigateur épurée de la faille. La firme avait également annoncé que l’application disponible via le Google Play Store serait mise à jour. Les versions actuelles de ce navigateur sont donc exemptes de ce « bobo ». Il va simplement falloir procéder aux mises à jour vers ces dernières.

L’urgence de la manœuvre est signalée puisque Mishra a publié un module Metasploit sur GitHub. Les pirates en tout genre disposent donc d’une plateforme logicielle permettant d’effectuer des tests de pénétration et de lancer des attaques sur les dispositifs qui ne seront pas mis à jour.

Sources

Billet de blog Mishra

GitHub

Votre opinion

Faites-vous usage de ce navigateur ? Si oui, l’avez-vous déjà mis à jour ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de
https://www.developpez.com
Le 01/01/2018 à 12:23
Si je l'utilise, le navigateur n'est pas configuré pour garder les mots de passes et autres...
0  0 
Avatar de arond
Membre expérimenté https://www.developpez.com
Le 02/01/2018 à 10:56
Merci super news.
0  0 
Avatar de AZOU_TE
Nouveau Candidat au Club https://www.developpez.com
Le 05/01/2018 à 17:21
Merci, c'est une information de taille !
0  0 
Avatar de liberal1
Inactif https://www.developpez.com
Le 07/01/2018 à 18:25
Bravo pour le lien vers :

billet%20de%20blog%20mishra
0  0