Une simple ligne de code HTML envoyé à certains smartphones Samsung effectue un wipe complet.
TouchWiz est présent sur les smartphones de Samsung et permet au constructeur de se différencier par des fonctionnalités inédites (SBeam, SVoice…). Les ajouts et plus particulièrement Human UX ne font pas l’unanimité, mais grâce à l’ouverture d’Android, on peut s’en séparer très facilement.
Pour les possesseurs de Samsung qui restent sous TouchWiz, une très mauvaise nouvelle vient de nous parvenir : une faille de sécurité dévastatrice atteint les terminaux de la marque. Un code USSD embarqué sur une page web permet d’effacer entièrement votre téléphone, sans même que vous puissiez annuler l’opération.
Un code USSD (Unstructured Supplementary Service Data) est une fonctionnalité notamment utilisée par l’opérateur français Orange. En tapant par exemple le code #123# sur l’application téléphone, vous allez alors avoir accès au suivi conso. De nombreux autres codes existent propres à Android, mais aussi à Samsung.
Le code *2767*3855# est extrêmement dangereux, car il supprime l’intégralité de vos données (il fait un factory reset). La faille en question consiste à injecter dans une page web la balise frame src= »tel:2767*3855%23″. Dès que le téléphone interprète cette ligne de code, il est immédiatement lancé et l’opération n’est plus stoppable. Notez également que la chaîne peut être envoyée par SMS, en NFC ou en scannant un QR Code.
La liste des terminaux vulnérables n’est pas encore connue (les Galaxy S2 et S3 seraient touchés). Les résultats varient, car certains terminaux ouvrent l’application Téléphone et il faut valider pour que le code soit réellement exécuté. Sachant que Samsung propose plus de 150 terminaux sous Android, il s’agit d’une véritable bombe à retardement.
Si vous n’avez pas TouchWiz sur votre téléphone, la page web contenant ce code ne sera pas interprétée et n’aura donc pas les conséquences citées. Toutefois si vous avez un Samsung, ne surfez que sur des pages « sûres », car un code USSD spécial pourrait même détruire la carte SIM.
Samsung travaillerait actuellement à un correctif, mais est-ce que des vieux terminaux seront aussi mis à jour ?
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
bonjour et au cas ou es que la garantie marche,ou on l'a dans le .....! franchement android comence a me deguter deja par les autorisation dans les application presque impossible a le conturner, au faille que on peu retrouver sur des mobile paie bien cher, enfin qoi Mer...! :(
[…] ne sont pas nouvelles, on se souvient surtout de cette affaire avec les téléphones Samsung où un simple lien dans un SMS (à condition que l’utilisateur clique dessus) pouvait suffire à remettre à zéro […]
[…] on se souvient surtout de cette affaire avec les téléphones Samsung où un simple lien dans un SMS (à condition que l’utilisateur clique dessus) pouvait suffire à […]
Comment supprime une page vierge
Avant d'avoir lu la news, personne ne s'est plaint ? Pourquoi crier à l’apocalypse maintenant ?
Il vend quoi ton dealer ?
AHAHAH
Pour ceux que ça intéresse j'ai fait une petite appli 'USSD Blocker' qui permet de résoudre la faille de sécurité pour les téléphones dont le dialer laisse passer les codes USSD envoyés par une URI. L'appli est dispo sur le Play Store, ici: https://play.google.com/store/apps/details?id=com.laucass.ussdblocker J'ai uniquement testé sur Galaxy S2 et Galaxy S3 (même si le S3 est déjà safe) mais ça devrait fonctionner sur n'importe quel téléphone Android.
[...] [Source] [...]
C'est déjà réglé ce soucis c'est du samsung ici ça ne rigole pas on est pas devant des iphone5 qui perdent leurs peintures out of box et qui ne seront jamais remplacé. Troll gratuit je sais ^o^
Enlever le code please. c'est nul de mettre ça ici, ca n’apporte rien à part des emmerdes !
N'empêche, c'est quand même pas très malin de placer le code dans l'article... Autant écrire : " hé, attention, il y a un nouveau virus très virulent! Cliquez sur ce lien, et vous verrez, il risque de tout effacer!"
Lis les coms de @Kraaw un peu plus haut. Tu ne risques rien.
J'ai Skype installé et à la composition d'un n° un choix m'est proposé : Dialer ou Skype. Ex-ce suffisant pour bloquer ? Il me semble que ça fait la même chose que TelStop ou un autre dialer. Cordialement.
Bravo disqus... l'appli dont je parle est donnée dans le commentaire de byte_order ! On va finir par devenir schizophrènes avec un tel système de commentaires...
C'est vraiment bordélique l'ordre des commentaires... C'est pas au point le système Disqus ??
Ou, mieux, TelStop dispo gratuitement depuis ce matin, et qui agit comme un proxy filtrant les codes USSD, avertissant si le numéro semble malicieux ou pas.
ca dépends de la rom enfait :D il suffit de bloquer les codes ussd, y'a une appli sur le market pour ca
Hey Frandroid !! Faudrait arrêter de participer à la panique générale 'exagérée', tout ça pour faire du commentaire! Je vous aime bien, mais là, ça devient lourd. Certains, en commentaires, on donné des solutions: deux, pour être précis. Installer un autre dialer (go dialer) ou installer une appli spécialement développée par la communauté Android: TelStop !! Des solutions temporaires existent ! Alors faites votre job... Ça devrait déjà apparaitre en lien SSL! Suis énervé :(
C'est ce genre d'initiative qui me fait préférer le système Android aux autres..
Tu n'as vraiment rien compris... au contraire, diffuser l'info ne fera que pousser samsung a sortir un correctif. Alors que cacher ce détail... tu connais l'effet streisand?
je voyais plutôt effrayer les acheteurs pc en 2000 puis comme les parts diminuent pour iOs effrayer les acheteurs Android....surtout la marque dominante.....
En attendant, la communauté fourni déjà une solution un peu plus élégant : un TEL catcher, à définir comme l'application par défaut pour ouvrir des URL tel:, et qui agit comme un proxy : https://play.google.com/store/apps/details?id=org.mulliner.telstop
en fait non, a priori tous les tels andoid n'ont pas de code USSD faisant un factory reset... note que le code de samsung est connu depuis longtemps
ça ne me fait rien a part lancer le dialer avec mon s3 sous jelly bean officiel<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
faut arrêtez d'accusez samsung ^^ tous le tel android sont potentiellement vulnérable. Chez moi mon nexus affiche le code mais je doit validé, mon galaxy young m'affiche l'imei. Imaginé Apple mettant ce code dans tous leurs site ... hummm la bonne bataille lol
bonjour je viens de cliquer sur le lien de l'article pour voir l'imei et oui ca fonctionne mais j'ai un LG Optimus 2X! Le code d'effacement existe aussi sur LG? Merci<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
J'ai élu ça aussi avec appygeek... Enfin juste le dialer mais j'ai pas validé. Et pour info mon GS II n'a plus TW depuis belle lurette. CM 10 Experimentale <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Imaginez celui qui ouvre une page contenant ce code avec un Galaxy Note sujet au Brickbug!!! La CA-TAS-TRO-PHE Hop! Full wipe et le tel ne se rallume plus JAMAIS!!! Un seul mot: WOW!
donner le code est la ligne de code c'est vraiment stupide "bravo" Trop d'infos tue l'infos Priez pauvre utilisateur de samsung Votre site favoris vous tue....
Et comment t'as réussi? J'essaie sur le mien depuis 2h... J'ai même rentré le code à la main direct dans le dialer, mais tout ce que j'obtiens, c'est un message qui me dit:"Problème de connexion ou code IHM non valide".
J'ai déja effectué un factory reset volontairement par le passé et j'ai constaté que Mes fichiers et documents que j'avai placé sur ma carte Sd externe n'avait pas été effacés. Est ce que finalement ce ne serait pas la meilleure astuce pour éviter de tout perdre ?
Apres avoir cliquer sur un article de l'application Appygeek concernant ce probleme et bien reset complet sur mon Note.Merci bcp a eux grace a ca plus rien du tt dans mon telephone 6Go parti en fumée...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
J'ai une un probleme comme sa sur ma Galaxy Tab 10.1. Je ne sais pas si c'est cela, mais je n'aviguai sur le net, et ma tablette a beuguer, redémarré toute seul et je n'avait plus rien d'installé sur ma tab...
ouaip... le plus moche dans tout ça, c'est que le code a été rendu public ! Frandroid n'y est pour rien, des milliers de sites l'ont relayé, et ça n'aurait pas changé grand chose de ne pas le faire. c'est la diffusion d'origine qui est soit idiote, soit mal intentionnée!
ok sur le principe ... mais dans ce cas ça n'est pas spécifique a android! qui connait les USSD de l'iphone? Par ailleurs, certains USSD sont specifiques à des opérateurs et implémentés dans les SIM... Là, ça pue la backdoor mise dans le code du dialer samsung il y a longtemps pour faciliter le support (quand, sur certains galaxy S, samsung a bloqué le mode recovery par exemple)... et oubliée depuis!
Ca m'est arrivé aujourdhui avec mon samsung galaxy Pro Young B5512, mon phone a fait un reset complet et j'ai tout perdu, tout perdu je jure. Je souhaite une samsung trouve une solution rapide, j'ai meme peur encore de mettre des trucs dans mon phone...
clair je vois pas trop non plus. ça servait surtout avant les smartphones ces codes là.
ya plus qu'a regarder les sources... cyanogen est entièrement opensource. je n'y crois pas trop, car du coup, par l'ouverture du code, tous les codes sont forcément publics (c'est tout l'interet de l'opensource) Samsung a du vouloir utiliser ce moyen pour une fonctionnalité a eux sur leur dialer a eux, mais je ne vois pas bien l'interêt!
à moins qu'un tel code existe pour les rom cyanogen =D
pour ceux qui dise que on craint pas le reset si on est pas sur un samsung, ne soyez pas si contant car votre marque moto, htc, ect.. il existe peut etre un code de reset aussi donc si sa marche pour l'imei sa marchera pour le code correspondant a votre marque. la faille et le code sont deux chose bien distinct j'ai l impression que pas mal font l’amalgame.
POUR TOUS CEUX QUI SONT SOUS CYANOGEN (et probablement les autres non samsung):PAS DE PANIQUE!! pas de panique: le code pour l'imei marche parfois, mais pas le code pour le wipe qui est interne a samsung!!! je pense qu'il en est de même pour la majorité des tels sans rom samsung! nb: testé sur un GALAXY S sous CM9 (après backup bien sur!) nb2: l'auteur aurai pu faire le test avant de balancer un site de test qui met la panique pour rien (propablement 90% de faux positif!)
Je ne crois pas non ;). sinon le code aurait aussi ete edecouvert ! Jusqu'a preuve du contraire...
t'as pas tres bien compris l'ami . moi aussi le site me fais afficher mon imei dans le dialer. mais j'ai execut la commande pas seulement de imei mais j'ai egalement effectu le code de factory reset, et le htc me le refuse :). j'ai rien a perdre sur le one s donc j'ai tent. pour etre sur j'ai ete sur le site qui fournis la vulnerabilit sur les galaxy, et la oage web me fais ouvrir le dialer avec le code ;). sans valider. et si je valide, je repete qu'il ne se passe rien, htc me le refuse avec une message d'erreur du sryle "code ihm invalide....etc" donc ne craignez rien pour les htc mes amiqs :).
les commandes de factory reset sont bloqu par htc, je le sais, je viens de tester :). et frandroid vient de retirer l'edit, il ne s'agit que de samsu.g :).
idem pour moi a cause de cette merde de newsrepublic
J'ai eu une maj de samsung push. c'est ça ?<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Dur... Bon courage pour reconstituer tes données ! ^^ (Humour, je précise :) )
Sauf que la faille reste exploitable via SMS our un lecteur QR Code, ou toute autre application Android qui va "exécuter" un URL débutant par le pseudo protocole tel: La source du problème c'est que les dialers ne demandent pas d'autorisation avant d'exécuter un numéro USSD non saisi explicitement par l'utilisateur mais venant d'un lancement externe. Seule parade actuellement : rendre ce lancement automatique non automatique, en installant un second dialer, forçant l'apparition d'un boite de dialogue pour choisir laquelle utiliser et... n'en choisir aucun mais annuler le lancement automatique. Attention, il ne faut PAS cocher "toujours choisir cette application par défaut" évidement ! ;-) Première faille grave d'Android, de quoi cassé la dynamique positive dont il bénificiait depuis quelques mois. Un coup de bol pour Apple pour faire oublier ses propres déboires...
Oui, c'est une faille au niveau du dialer par défaut d'android jusqu'à ICS 4.0.3 inclus. Le patch corrigeant cela était dispo avant la 4.0.3 officielle mais visiblement les fabricants ne l'ont pas pris en compte. Pour l'instant, la seule défense connu est d'installer un second dialer et *surtout* ne pas en mettre un par défaut, ce qui force Android à afficher systématiquement un dialogue de choix, rendant l'ouverture auto 1) moins discrète et, chose important, 2) annulable par la touche back.
J'hallucine... Sur mon Galaxy S2 (GT-i9100), l'IMEI s'affiche aussi. Et ce soir j'ai vu une notification de mise à jour du système. Je me suis dit que c'était Samsung qui avait réagi au trou béant de sécurité. Et non, c'est le passage de la 4.03 à la 4.04... L'IMEI apparaît toujours... Les boulets... :-/
Le but est bien sûr de ne pas définir un dialer par défaut sinon ça ne sert plus à rien.
meci à l'appli "news republic" qui m'a fait un factory reset de mon GS II en consultant un article lié à la news :/
Sauf que si tu as coché "Go Dialer" comme appli par défaut, il ne te demande plus et lance Go Dialer automatiquement !
Cher smartass, sense peut integrer la meme betise que touchwizz. Tu passes a coté de l'info
J'ai également testé le lien sur un LG Optimus L7 et Android me demande de lancer l'application SMS ou Téléphone
Ouais d'accord, mais si ça peut éviter de donner des idées à ceux qui mesureraient pas forcément la portée de leurs actes, ce serait tout bénef'...
Pas de faille pour mon Gs3 sur jelly been (LI8) donc déjà corrigé par Samsung... La page ouvre le dialer mais ne compose pas le *#06# Ça va en rassurer quelqu'un... <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ce n'est pas parce qu'il a été diffusé ponctuellement qu'il faut le diffuser largement...
Non non, tu ne te trompes pas, c'est bien ça :)
code dangereux pour le S3! photo dangereuse pour nos yeux??
Je crois que y'a un truc que t'a pas tout a faire compris ;) Le site qui est donné test si ton tel est vulnérable en affichant ton IMEI au moyen d'une commande similaire à celle provoquant le reset, et non celle provoquant le reset >< Donc évidement que ta pas de reset quand l'imei s'affiche ... vu que le but n'est pas de détruire ton phone mais juste de test si il est vulnérable ;) Enfin c'est ce que j'ai compris, qu'on me dise si je me trompe ...
C'est bien mais quel mobile as-tu ?
Sur mon htc desire sous cyanogen 7, la faille est aussi présente avec le navigateur par défaut. Reste à savoir si le code reset factory fonctionne sur tous les téléphones android ou c'est seulement un code spécifique aux samsung ??
Yeaaah Merci Pour L'astuce !
Le code a été diffusé lors d'une conférence sur la sécurité. A partir du moment où c'est released, il n'y a pas de sécurité par l'obscurité. Si des gens voulaient de toutes façons utiliser ce code, ils l'auront de toutes façons.
HTC senstion CM9 l'IMEI s'affiche mais pas de reset " i love HTC"
SGII sous cm10 il apparait …*#06# les codes raccourcis qui fonctionnaient sous GB et ICS ne fonctionnent pas sous JB.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
J'ai peur !!
ça le fait sur xperia X10.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Gs3 sous jelly bean stock non touche.... Sur les HTC vous ne craignez rien, même les téléphones sous CM. Le code qui fais un full wipe ne fonctionne que sur les phone "touchwizz" Au pire sur vos HTC, le pirate pourra vous faire apparaitre votre IMEI. Ce qui minquiete ce sont les Samsung stock qui lance le code
c'est normal que mon IMEI s'affiche alors que je suis sur un LG 2X :/ ? j'espère que le code wipe est différent au cas ou...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Srx moi l'imei ça marche mais pas le reset --"
Sur mon Sony Xperia x8 (android 2.1), le dialer s'ouvre, mais la commande ne s'execute pas. Ouf !
LG O2X sous CM 7, l'IMEI s'affiche. GTAB 7 (la premiere) sous CM 9, l'IMEI s'affiche aussi.
Super !!! ... en fait si :(
j'ai essayé le code ça reset pas ><
Le galaxy s scl est touché aussi.... C'est plutôt embêtant X) <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
C'est une bonne infos qule gsiii europeen soit pas affecté. comment êtes-vous passer en Jelly Bean sans que la MàJ soit sortie en fr? merci<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Yessssssssssssss :D
EDIT: Testé sur un HTC Titan sous Windows Phone 7, le dialer s'ouvre et affiche le code ussd (ici *#06#) et demande autorisation.
même chose pour moi, ça veut dire que le galaxy note n'est pas vulnérable ;)
J'utilise un S3 sous Jelly Bean (ROM Samsung) avec la navigateur intégré, Chrome ou Dolphin le dialer se lance mais aucun code ne s'exécute donc pas de souci.
Motorola Atrix touché, attention :)
Quelques dizaines de millions de personnes, deux fois rien quoi.
Sur mon Galaxy S3 en Jelly Bean officiel, l'application téléphone se lance mais rien n'est inscrit.
C'est vrai qu'un wipe data c'est un peu laloose mais bon j'ai des backup titanium alors bon...Et quand je lance le jojo truc la j'ai juste le dialer qui s'ouvre avec *#06# donc je pense que c'est bon ^^
Testé sur mon HD2 sous CM9, IMEI affiché. On dirait que ce ne sont pas ces surcouches en cause, mais le système lui même...
Friends, go SMS ce code ! xD
A CAUSE DE L APPLI NEWS REPUBLIC MON GALAXY S ET COMPLETEMENT OUT
J'utilise un S3 sous Jelly Bean (ROM Samsung) avec la navigateur intégré, Chrome ou Dolphin le dialer se lance mais aucun code ne s'exécute donc pas de souci.
marche pas sur LG Optimus 4x HD rom lg v10f Marche sur galaxy S CM9 mais ce test ne garantit pas que le code de wipe fonctionne ...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
:rire:
Sur mon Samsung Galaxy S II, avec Android 4.0.3, la ligne de code proposée comme test fonctionne avec le navigateur Android de base, mais est bloquée sous Opera (la ligne apparaît entièrement dans un encadré rouge Opera, avec la possibilité de l'exécuter). Je crois donc être temporairement protégé par Opera, mais mieux vaut éviter le navigateur de base en ce moment.
Pour info j'ai un Sony Xperia S et la page à ouvert mon dealer et affiché mon code IMEI. Que faire ??? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Motorola Defy sous CM10 Epsylon est partiellement vulnérable, car "téléphone" s'ouvre et tape le code pour connaitre son code IMEI ( *#06# ), mais fort heureusement on me demande confirmation avant de lancer l'appel :) Defy forever !
Si jamais un site un tantinet sérieux se permet de faire ça, je porte plainte.
Auto réponse : au moins on sait que le problème vient du browser stock d'Android (et affecte donc ceuxs basés dessus) et que ses dernières versions corrigent apparemment le souci...
Sur le Galaxy Nexus ça ouvre l'appli téléphone avec le code pré rempli mais il ne se passe rien.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ce que tu n'a pas l'air de comprendre c'est que le code que Frandroid donne ne marche que sur SAMSUNG parce que c'est le code que POSSEDE TOUT LES SAMSUNGS (a quelques exceptions pres) pour le reset. Chez HTC faut écrire un autre code....
Désolé de te contredire mais mon One S stock 2.31 m'affiche bien l'IMEI en cliquant sur le lien... Faites un backup mes amis...
Oui l'imac c'est fin 2000, et l' iphone c'est 2011 ?
Mon One X full origine est concerné.......l'IMEI apparait...est ce que un truc pareil peut être corrigé par une MAJ....?
Il y a une parade très facile pour éviter cette faille de sécurité. Installer une appli dialer supplémentaire comme GO Dialer EX et quand un code pour composer un numéro est envoyé dans un code HTML ou autre le téléphone demandera à choisir quel dialer lancer (celui d'origine ou celui installé) et ainsi l'utilisateur peut bloquer l'exécution.
sa touche tout les android ou que les téléphone ayant subi un changement de rom non officiel ( rom custom ) ???
modifié la news car je tourne en Cyanogenmod 9 et j'ai testé le l url test de votre news et mon imei c est afficher donc le problème n est pas uniquement pour touchwiz mais aussi pour les rom cyanogen ! par contre j ai pas testé pour le fullwipe ^^ <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
je repete. htc n'est pas touch, va voir mon autere commentaire en dessous.
faux... tester sur le htc one s de ma femme : hors de danger. le dialer est lanc, le code affich mais n'appelle pas . j'ai test tester d'appeller sur mon vieux htc desire sous htc sense et une fois que j'appelle le code, htc me la refuse en disant que le code mhi machin ne fonctionne pas. merci bon dieu !
Le malaise est plus profond, testé sur HTC One X -> dialer et Imei quelque soit le navigateur (sauf opera), sur le Note 1 j'ai juste le dialer qui s'ouvre mais pas de code imei même avec le navigateur par défaut...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour tablette</a></i>
Moi je fais un nandroid et je deplace sur mon pc :)
Présent sur gs2 en 4.0.4 xwlpx avec le navigateur stock, chrome et opera... Pas cool ! Je vais devenir parano... <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Oh my god on va tous mourrir !!!!!! Jetez vos téléphone ça explose !!!!!!!!!
Qui a maudit Sam avec Touchwizz????? J'attends Nokia Lumia 920. Plus jamais de samsung. je vends mon S3.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour tablette</a></i>
Sur mon Galaxy Note en 4.0.4 il me lance uniquement le keyboard du téléphone sans IMEI c'est bon alors ?
En attendant savoir pertinemment qu'il y a une faille et l'exploiter, puis se plaindre c'est juste stupide non ?
Xperia S pas touché. Le code se lance mais le dialer n'appelle pas. Merci Sony :) !
En attendant un patch, utilisez Opéra comme navigateur, il faut cliquer pour executer la ligne, donc à part être con et cliquer, on est en sécurité, à priori.
HTC sensation sous Viper android 4.0 touché aussi !
Sur mon Galaxy Note le menu du téléphone s'affiche mais l'IMEI ne s'affiche pas.
One S stock atteint.
Je vais faire flipper mon ami demain je vous dis pas x) Sérieux Samsung, en plus sur leur flagship...
Ça veut dire que tu n'es pas vulnérable.
Nan mais STOP LES GENS ! le code test m'affiche bien mon eimi en gros en gras en clair, mais j'ai test d'appeler le code (ouqis mais j'avais rien a perdre . pour j'etais pret pour retirer ma batterie....) et mon htc m'affiche ca : code MHI invalide etc... Donc je suppose que tous les HTC sont HORS DE DANGER.
sur mon gs3 ca ouvre le dialer mais rien... tant mieux :p
sur mon SG2 sûr rom ics omega V15 et Apex en launcher, ça ne marche pas avec opera mobile mais ça me donne mon imei avec chrome ... put*** de navigateur ! ^^
ca fait quoi si l'appli téléphone s'ouvre mais que le code s'affiche pas ?
Alors moi DHD rooté avec rom IceColdSandwich en 8.6.1 ca affiche l'IMEI avec le navigateur stock, mais pas avec chrome. Que dois-je en conclure ?
Rien pour mon Galaxy Nexus sous Jelly Bean 4.1.1 via le navigateur Chrome pour moi non plus
C'est vrai que les HTC fonctionne avec Touchwizz. ....
Pareil, sur mon Nexus S rom stock. Ca n'a rien de génant, on n'a pas touchwiz
Coucou, je suis avec un S3 et quand je lance le site le clavier se lance mais n'affiche rien. probleme ?
T'es vraiment sérieux ?
Mon Galaxy S3 sous CyanogenMod 10 Nightly 23/09/2012 est touché. C'est quand même n'importe quoi...
Mon LG P970 a également cette faille...
interessant, comme quoi le lien de test ne sert peut-etre à rien, sauf à faire flipper tout le monde.
et je précise avec Opéra. pas essayé avec Chrome...
Opera mobile empêche le lancement du code !!! Il faut "cliquer" pour le lancer....
Rien ne se passe sur Galaxy Nexus ! Merci Google, je suis content d'avoir un Nexus et sa ROM sécurisée! <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
ben moi j'ai un intel san diego avec rom xolo et quand je clic le liens ça m'affiche mon clavier telephone et mon imei aussi et j'ai copié collé le code ça lance l'ussd mais après jai un message probleme de connexion ou code IHM non valide
Je ne connais pas grand monde qui utilise encore TW. De toutes façons moi je suis sous CM10 et j'ai toujours une sauvegarde présente sur mon PC alors un wipe data...
mdr ! je suis sûr que tous les webmasters "Apple fanboy" vont se faire plaisir !!!! mouahahahahhaaha la vague paranoïde qui va déferler chez les utilisateurs de Touchwizz ! :p Plus sérieusement, ça ne donne rien sur mon SG2 sur rom ICS Omega V15 avec launcher Apex... ^^
meme mon vieux HTC Desire sous cyanogem mod 7 est vulnérable mais normalement il faut une confirmation avant d'effacer ????
Avec Opera Mobile rien ne se passe.
Une démo sure Galaxy Ace http://www.youtube.com/watch?v=D-QfaDc1gLg
La page s ouvre et mon IMEI s'affiche sur mon LG optimus black de merde
One X avec rom Htc touché va falloir faire attention :/
HTC Wildfire vulnérable !!
Ceci me fait penser à l arrivée phénoménale des Virus en fin 2000 sur PC. Ça coïncidait à l arrivée des iMacs sur le marché....
J'aime assez la partie "Pour les sereins" quivient rassurer les paniqués XD
Eh merde!!! :(( L'Europe est toujours mise de cote!!! ;)
C'est marrant, car la news est repris par un peu tout le monde, et il n'y a que Samsung de visé. Or tous les téléphones semblent être concernés. Comme dis plus haut j'ai testé sur mon LG P500 sous ICS avec le navigateur de base, j'ai testé sur mon Nexus S en CNA 3.6.0 avec Chrome, Nav de base et Dolphin, ca le fait aussi. J'ai le dialer qui s'ouvre avec mon IMEI. Ca ne serait pas les pro iTruc qui ont lancé la chose ?
Motorola Razr MIUI, l'IMEI s'affiche sur google chrome
VU sur un autre Site : Les modèles Européens du SIII ne sont pas concernés....
Cher tous, la faille est que touchwiz ne demande pas de confirmation avant de composer un lien tel://. Sur android sans touchwiz (cyanogen etc) l'application pour composer les numéros de téléphone se lance, mais il faut cliquer sur "appeler" pour lancer le code. Ceci le comportement normal et attendu. Le correctif de Samsung sera sans doute de désactiver l'appel sans confirmation lorsque l'on clique sur un lien tel:// Pour les paniqués: Ca n'a rien à voir avec votre navigateur ou android en général, calmez vous. Pour les sereins: On peut très bien mettre ce lien tel:// dans un QRcode par exemple.
C'est que le dialer refuse le code. Aucun risque donc.
J'ai essayé sur mon S3 sous JB et ça marche pas. ;)
C'est une blague ? "Essayez le site et si ca vous reset le portable allez vous faire"? C'est quoi cette idée de merde de mettre le site là dedans ?? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Je viens de faire la manip et l'EMEI s'affiche... je suis sur Galaxy Note 1 chez SFR, et Android 4.0.3
HTC Sensation Android 4.0.3, Sense 3.6 avec rom custom la vulnérabilité est présente
Un vieux Staraddict sous CM7 la faille est présente, cette après midi en surfant sur le net j'ai eu à 2 reprises ce même code qui c'est affiché en ouvrant automatiquement l'appli Téléphone, je sais à quoi ça correspond maintenant!!
As tu un samsung ? C'est quoi ton numéro de mobile ? ;-)
Pour sur !!
HTC One V atteint aussi
C'est vrai que donner le code en clair dans l'article n'est pas très cool !
Effrayant ! C'est vraiment très simple en plus de mettre en place cette ligne de code dans une page web... J'espère que Samsung sera très réactif sur ce coup-là. Heureusement pour moi, le nandroid backup existe...
Non. Seul ceux qui voient leur imei ont ma faille. Les dernières ROM du S3 n'ont plus la faille
Yo moi j'ai cliker et l appli telephone c'est ouverte avec mon imei afficger Que dois je faire ? Je suis sous rom custom Ty
Précision, le numéro IMEI apparaît...
Sony Ericsson xperia arc S, jj's hybrid 3.2 avec dolphin browser, affiche téléphone et le numéro IMEI :-S <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
TouchWiz est la seule surcouche qui propose un wipe depuis un code téléphone. Afficher l'IMEI (ou ouvrir Phone Info) n'a rien de dangereux pour 99% des autres terminaux.
Avec Opéra, la fenêtre est bloquée.
les ROMS MIUI 2.3.7 et 4.0 sont touchées.
Juste pour info: Opéra Mobile balance une vignette préventive, sans lancer l'appli phone. Dolphin browser ne prévient pas et lance l'appli phone.
HTC One X sous ViperX, vulnérabilité présente
S2 sous Gingerbread (2.3.3) aussi touché. J'espère que leur MAJ n'imposera pas un passage à Jelly Bean ou à une autre version. Je suis très bien là où je suis.
Ce qui m’étonne c'est que ça marche si on envoie le code par sms... Quelqu'un peut confirmer?
Bah oui je connais c'est pour ça qu'on peut wipe a distance avec samsung dive
pas touché avec le S3 est la dernière rom officielle jellybean. le clavier téléphonique s'ouvre mais l'imei n'apparait pas !
sympa d'avoir filer le code , comme sa pas mal de bouffon vont se faire plaisir ... --"
Idem sous ICS 4.0.3 Sense 4 sous Desire HD et Chrome... arf :(
Certes, mais la faille provient ici de son injection dans une page web
Pas d'IMEI avec un S2 sous CM10
Salut, Je viens d'essayer le lien que vous proposez pour verifier si nous sommes en sécurité ou non. Je n'ai pas eu le code auquel vous faites allusion, mais simplement mon clavier telephone s'est ouvert, que l'on soit d'accord aucun numéro n'était pret a etre appelé ou activer... Dois-je comprendre que je ne suis pas en sécurité ? En sachant que je possede un galaxy S3<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Faille confirmée sur TOUS les navigateurs (de base, Chrome, Firefox, ...) sur GS2 Android 4.0.4
Gnex sur android 4.1.1 AOSP via Chrome, ça rentre le numero mais ça ne l'appel/Active pas. OUF
Je n'ai personnellement rien sur mon Nexus S, CyanogenMod9, Chrome... Ouf.. :) . Pas mal pour détruire des gens que tu n'aime pas.
Ben oui, tous les téléphones ont des codes Reset. Et oui, sur tous les téléphones on peut les activer à distance. Ce n'est pas une nouveauté.
Le clavier s'affiche mais rien ne se passe ensuite ?
Le IMEI apparait sur un HTC Desire avec Cyanogen CM7. Apparemment la faille ne touche pas que Touchwizz.
Non, car TouchWiz est la seule surcouche qui propose un wipe depuis un code téléphone. Afficher l'IMEI (ou ouvrir Phone Info) n'a rien de dangereux.
Visiblement c'est une faille Android plutôt, non? Car sur mon Nexus en CNA 3.6.0 ça affiche mon IMEI et sur mon LGP500 en ICS ça le fait aussi. Ou alors le lien web ne marche pas.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Fonctionne sur GSII 4.0.3, et HTC Desire aussi...
Hommage aux gens qui vont essayer et chez qui ça va faire un reset.
Imagine le mec du site internet pour tester il fait son pervers et change le code (au lieu du IMEI il met le code du factory reset) ça pourrait être drôle ^^ ou pas :p
Malheureusement ça fonctionne aussi sous chrome (je viens d'essayer sous GS2 4.0.4)
Vous pensez que mon galaxy note Sosh sera mise à jour ;)
Moui, prouvé sous ics 4.0, pas 4.04, marche pas sous chrome... ça limite un poil.
Donner le code exact n'étais par contre peut-être pas la meilleure chose à faire :)
sur mon GS3 je ne vois pas mon IMEI qui s'affiche mais le lien me renvoie sur le dialer. Y a t-il danger?
Ne fait rien sur mon SIII.
ça ça craint ! Au pire tout est effacé, c'est pas comme si on pouvait entrer dans mon téléphone. Mais cela en est tout de même très gênant !
A priori un One S avec une rom VIperS et Chrome comme navigateur est sensible à la faille, je vois mon imei apparaître... :(
Je vois mon imei OMG :D
ca c'est de la bonne grosse faille !
ceci est une révolution ? ^^
C'est le S-Reset !!!
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix