Deux fournisseurs de solutions de sécurité ont publié des correctifs temporaires pour colmater une faille affectant certains smartphones Samsung sous Android. Le bug permettait à des attaquants de contourner le code de déverrouillage de l'écran.  « Le problème vient de la façon dont Samsung a mis en oeuvre la fonctionnalité d'appel d'urgence qui permet aux utilisateurs de se mettre en relation avec les services d'assistance ou de communiquer le nom d'une personne qui peut être contactée », a expliqué David Richardson, responsable produit chez l'éditeur Lookout Mobile Security. Lookout et son confrère Bkav Mobile Security ont publié des mises à jour dans leurs logiciels qui réparent temporairement la faille. Samsung a configuré la fonction d'appel d'urgence, de manière à ce qu'elle apparaisse brièvement pour déverrouiller le téléphone, a précisé David Richardson.

Cette faille est critique, dans la mesure où les données d'une personne qui a perdu son téléphone peuvent être accessibles. On ignore quel est le nombre de smartphones concernés par ce bug, mais on sait qu'il a affecté des Galaxy S3, des S3 Mini et des Note 2 équipés d'Android Jelly Bean.

Découverte d'une autre faille cette semaine  

Il semble y avoir quelques variations dans cette faille, qui a d'abord été repérée ce mois-ci par Terence Eden, responsable d'une communauté de développeurs basée au Royaume-Uni et par InMobi, une agence de publicité mobile.

Terence  Eden a également décrit une autre faille découverte mercredi. Lors d'une démonstration avec un Galaxy Note 2 sous Android 4.1.2, il a rapidement manipulé la fonction d'appel d'urgence et il a réussi à télécharger une application de la boutique Google Play qui désactivait la fonction verrouillage sur le téléphone.

« C'est très rusé comme procédure », estime- t-il. De son côté, David Richarson indique que les variantes les plus graves peuvent maintenir l'accès au terminal jusqu'à que ce l'on reboute le téléphone.

Samsung n'a pas réparé la faille pour le moment. Lorsque le Coréen publiera un patch, les utilisateurs pourront désactiver le correctif, a conclu le responsable produits de Lookout Mobile Security.

Â