Passer au contenu

Votre smartphone Android est-il vulnérable ?

Suite à la faille de sécurité découverte cette semaine sur le Galaxy S3, de nombreux utilisateurs d’un smartphone sous Android se sont posé la question de…

Suite à la faille de sécurité découverte cette semaine sur le Galaxy S3, de nombreux utilisateurs d’un smartphone sous Android se sont posé la question de savoir si celle-ci n’était pas présente sur d’autres modèles. Et c’est finalement le cas comme l’explique notre confrère Smartphone France, cette faille exploite “une fonctionnalité des smartphones à savoir la possibilité d’appeler automatiquement un numéro de téléphone à partir d’une page HTML, enfin plus précisément d’un code HTML, le fameux code USSD (Unstructured Supplementary Service Data)”.

Le site a donc mis en place une méthode simple pour voir si votre smartphone est vulnérable ou pas. Il suffit de se rendre sur cette page et si votre smartphone est vulnérable il devrait afficher le numéro IMEI de votre smartphone sans que vous ne lui ayez rien demandé.

Pour l’instant, voici la liste des smartphones testés :

HTC Desire (Android 2.3.7): VULNERABLE
HTC Desire HD (Android 2.3.5): VULNERABLE
HTC Explorer (Android 2.3.6): VULNERABLE
HTC Wildfire (Android 2.2.1): VULNERABLE
HTC Sensation (Android 4.0.3): VULNERABLE
HTC One S (Android 4.0.4): VULNERABLE
HTC One X (Android 4.0.4): VULNERABLE
Motorola Defy Mini (Android 2.3.6): VULNERABLE
Motorola Defy+ (Android 2.3.6): VULNERABLE
Motorola Razr XT910 (Android 4.0.4): pas vulnérable
Sony Ericsson Xperia Arc (Android 2.3.4): VULNERABLE
Sony Ericsson Xperia Kino (Android 2.3.4): VULNERABLE
Sony Ericsson Xperia Play (Android 2.3.4): VULNERABLE
Sony Ericsson Xperia X10i (Android 2.3.3): VULNERABLE
Sony Ericsson Xperia S (Android 4.0.4): VULNERABLE
Samsung Galaxy Ace (Android 2.3.5): VULNERABLE
Samsung Galaxy Pro (Android 2.2.2): VULNERABLE
Samsung Galaxy S2 (Android 4.0.3): VULNERABLE
Samsung Galaxy S2 (Android 4.0.4): pas vulnerable
Samsung Galaxy Note (Android 4.0.4): pas vulnérable
Samsung Nexus S (Android 4.1.1): pas vulnérable

LG Optimus 7 (WP 7.5): pas vulnérable
HTC Mozart 7 (WP 7.5): pas vulnerable
HTC Titan (WP 7.5): pas vulnerable
HTC Trophy (WP 7.5): pas vulnerable
Nokia Lumia 800 (WP 7.5): pas vulnerable
Samsung Omnia 7 (WP 7.5): pas vulnerable

HP Pre 3 (WebOS) : pas vulnerable

N’hésitez pas à nous dire si vous avez découvert un nouveau modèle concerné.

Update : il y aurait une application sur le Play Store patchant plus ou moins cette vulnérabilité, c’est Telstop. A tester…

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

261 commentaires
  1. Ok tous ces téléphone affichent l’IMEI sans demande de confirmation, mais est-ce qu’il en est de même pour un code USSD lançant un appel (ça existe vraiment d’ailleur?), on sait déjà que l’USSD pour réinitialiser le téléphone n’existe que chez samsung. . .

  2. vous auriez pu écrire : “n’importe quel windows phone (WP 7.5) : pas vulnérable”
    ça vous aurait économisé 4 lignes et quelques secondes de votre vie qui auraient pu servir à des tas de choses utiles, comme 2 tours de cuillère en plus dans le café, s’étirer, rerégler le fauteuil, faire un morpion avec un collègue, reluquer Christelle, prendre un chupa chups, …

  3. Galaxy Nexus JB stock ROM.
    Demande d’appeler le *#06# mais sans le faire et si je le valide il me dit “problème de connexion ou code IHM non valide” donc je dirais non vulnérable.

  4. Motorola Razr (XT910) – Rom Officielle EU 4.0.4 ICS – Non vulnérable (je suppose), il compose le *-#06# mais ne lance pas l’appel

  5. J’ai testé l’appli tel stop.
    Effectivement ça fonctionne, il m’indique qu’un code particulier est activé. On peut ainsi annuler l’opération si on a rien demandé.
    De plus l’appli ne demande aucune autorisation particulière. Parfait

  6. Tentative sous mon Sony xperia S (mis à jour régulièrement), aucun affichage d’un IMEI. J’ai uniquement la fonction d’appel qu’se débloque pour appeler un certain 06

  7. Galaxy S3 dernière rom officielle 4.0.4 XXBLH3 … absolument pas vulnérable, comme prévu, @totom évite de raconter le contraire et d’alimenter le délire général de la presse spécialisée. En effet j’ai mis a jour cette rom bien avant l’annonce, et elle daterait depuis plus d’un mois.

  8. Ce n’est pas parce qu’un script arrive a afficher le numéro IMEI que le téléphone est vulnérable pour autant et qu’un tiers a pu accéder a des données sensibles (le numéro IMEI n’en était pas une).

    Après je ne suis pas spécialiste en la matière. Ce qui aurait été plus inquiétant, c’est que le site arrive a m’afficher la liste de mes contacts ou des mots de passe sur la page en question, là, j’aurais été inquiet 🙂

  9. Pareil que Toniolol lorsque je vais sur le site ça ouvre mon journal d’appel ça affiche *#06#
    Lorsque je fait appel , ça met exécution du code ussd , puis une erreur survient avec “problème de connexion ou code IHM non valide”

    j’ai un galaxy nexus sous JB avec une ROM non officiel

  10. Galaxy SII V4.0.3 –> non vulnérable (après je garantie rien, le réseau est pas terrible où je suis, mais l’attente a été suffisante)

  11. Sony Xperia P (LT22i) – Android 4.0.4 :
    – sous le navigateur normal : *#06# s’affiche mais ça ne déclenche pas l’affichage de l’IMEI.
    – Sous Opéra Mobile (+extension) : Rien ne s’affiche.

    J’en conclu : Sony Xperia P (Adnoid 4.0.4) PAS VULNÉRABLE.

  12. Galaxy S (GT-I9000) 2.3.6 – GINGERBREADXXJW4 : Vulnérable chez moi !
    L’appli TelStop propose de bloquer les lien “tel:”

  13. Samsung Galaxy SII (2.3.6 – Kernel de Siyah) : j’arrive sur le clavier qui me donne *06… ce qui ne correspond à rien. (donc pas vulnérable, c’est ça ???)

    Samsung Galaxy S : là, le collègue arrive sur *#06#… il est donc vulnérable… 🙁

    MC

  14. xperai mini pro, android 4.0.4

    En mode clavier physique rentré, vulnérable

    En mode clavier physique sorti, PAS vulnérable.
    La commande pour afficher l’IMEI, *#06# s’affiche, mais l’IMEI lui-même non.

  15. iphone 4 non vulnérable.

    Oops wait c’est pas un android.

    Allez, ca fait du bien de pouvoir troll android de temps en temps 🙂

  16. Je ne suis pas sur que le fait d’exécuter le code USSD IMEI soit une preuve que les téléphones sont vulnérables.

    Le problème avec les Samsung est que dans TouchWiz il y a un USSD qui efface le téléphone.

    Tous les téléphones utilisent le USSD *#06# mais tous n’ont pas le *2767*3855# qui effacent les smartphones Samsung.

    Après pour l’execution automatique d’un USSD, je ne suis pas sur que ce soit réellement un problème.

    Votre raisonnement me parait très bancal. Corrigez moi si j’ai tort ceci dit.

    😉

  17. Est-ce que le numéro est composé à chaque fois ?
    Car lancer l’appli “téléphone” avec le numéro présaisi est une chose. Mais lancer l’appel ensuite en est une autre.

  18. Xperia mini pro (ICS 4.0.4) non vulnérable affiche *#06#, ne numérote pas et erreur en suite
    Xperia S (ICS 4.0.4) non vulnérable affiche *#06#, ne numérote pas et erreur en suite

  19. Zut mon téléphone est affecté : Motorola Defy+ sous 4.0.4
    Par contre, si je puis me permettre une suggestion, peut-être aurait-il était sympa d’avoir un QRcode avec le lien dans l’article, c’est commode pour les personnes lisant le jdg sur le pc et voulant vérifier leur téléphone. Je conviens toutefois que l’url n’est pas affreusement long à taper.

  20. heu c’est n’importe cette appli et cet histoire d’imei ,c’est pas parce que le téléphone affiche l’imei que c’est vulneréable sinon depuis mon 3310 tous mes téléphones auraient été vulnérable ,faut vraiment arreter les désinformation et le JDG arretez de publier n’importe quoi sans même le vérifier

  21. Je confirme pour Motorola Razr (XT910) :
    Rom Officielle FR 4.0.4 ICS ( version 672.180.41.XT910.Retail.en.FR ) – Non vulnérable

    Comme quoi elle a tarder la mise à jour mais au moins elle est fiable ^^

  22. Bonjour tout le monde, merci pour cet article je viens de découvrir que mon smartphone ” LG Optimus Black ” aussi connu sous le nom de ” P970 ” est vulnérable et c’est bon à savoir 😀

  23. Je reste impressionné par le nombre de lecteurs du Journal du Geek qui en fait sont très loin de l’être comme ce site.

    (voyons si j’ai plus de réponse à ce commentaire que le précédent, ça évaluera le niveau.)

  24. Galaxy Gio sous android 2.3.3 Vulnérable, il ferme le navigateur et m’affiche le numero imei, alors n’importe qui peut me glisser un Code USSD qui me formatera mon ?? expliquez moi SVP

  25. Huawei U8220 ,
    Android 2.1 bidouiller

    Vulnerable .
    Oui , oui se dinosaure fonctionne encore et à pas une rayure alors qu’il a commencer avec Android 1.2 , mes début ^^

  26. sur GN sous android 4.1 depend du navigateur
    avec chrome il m’affiche le clavier avec le code composé mais rien d autre
    avec opéra que dalle !

    mais même dans le cas de chrome je ne vois pas mon imei mais juste le code ussd

  27. GS2 Android 4.0.3
    Vulénrable sauf … sous Opera Mobile apparement…
    J’ai testé avec Maxthon, Chrome, Firefox et Opera Mobile.
    Les 3 premiers m’affichent le code IMEI mais pas le dernier …

    Opera Mobile bloquerait-t-il cela ?

  28. Ya des c*ns ici qui ont rien d’autres à foutre de leur journée que de cliquer sur “-” pour un rien !! Faudrait m’expliquer là …
    Allez chercher du boulot ou alors faites le vôtre bande de branleurs.

    @ninjaw : Tu as de la chance le mien est vulnérable. Du fait que j’ai le 9100G ?

  29. Merci a tout les gens qui ont fait un test avec leur blackberry, leur WP, ca m a redonné le sourire pour la journée.

    bon allez j ai verifier sur le legend c est effectivement le cas aussi

  30. Galaxy Gio sous Android 2.3.3: Vulnérable
    Galaxy Mini 2 Sus Android 2.3.3: vulnérable
    Sony Ericsson Xperia Kyno V sous android 4.0.3: vulnérable
    Sony Xperia S sous android 4.0.4: Vulnérable 🙁

  31. Galaxy S2 (GT i9100) rooté + cyanogenmod 10 nightly : non vulnérable : il ouvre l’appli téléphone avec le code écrit, mais n’exécute pas la commande automatiquelent.

  32. HTC One S vulnérable

    Une autre solution de protection : lookout qui prévient d’une opération dangereuse et à plein d’autres dispositifs de sécurité pour protéger votre téléphone.

  33. @nooblade et les autres mauvais lecteurs, si, tu es a coté de la plaque, il s’agit très précisément de la faille en question: l’exécution automatique d’un USSD extérieur. Il est très loin d’être normal qu’une page web lambda puisse exécuter des codes systèmes sans autorisation, quand à l’IMEI ce n’est absolument pas le problème, l’imei a été choisi ici pour son coté inoffensif, le problème est la méthode : l’ussd c’est ca qui est testé, il y a peut être d’autre moyen de récupérer l’imei sans problème mais c’est totalement hors sujet. Regardez donc le micro code source de la page : vous trouvez normal qu’en surfant sur des sites le téléphone puisse appeler des numéros sans notre consentement ?

  34. Samsung galaxy S2 ROM officiel bouygues —-> Vulnérable
    Sony Xpéria U ROM officiel nue ———> Envoie vers numéro *#06#

  35. Galaxy s2 officiel ics vulnérable d’ailleurs je me suis fait avoir.
    Du coup j’ai mis mis paranoid jelly bean et ça me met le clavier téléphonique donc plus vulnérables.

  36. HTC Sensation sous JB 4.1.1 ( Bruce 2728 : http://bruce2728.mabsoft.dk/): passe sur le composeur, affiche le code mais ne lance pas la numérotation., que ça soit sous Chrome ou le navigateur .je dirais donc non vulnérable
    Desire HD sous ICS 4.0.4: vulnérable 🙁
    Wildfire sous CM 7.2 nightly: vulnérable .
    et Désire sous Sandvolv ( 4.0.4 donc): vulnérable …. hé bé 😉

  37. Testé sur mon Meizu MX M032 version HK fraîchement acheté. Pas vulnérable. Uniquement la phrase d’intro est affichée sur la page.
    Test effectué sous Flyme OS 1.0.3, android 4.0.3. avec le navigateur Meizu intégré.

  38. Super, en fait on a 5 pages de bordel pour dire “vulnérable” et j’ai un gros doute que vous ayez répondu correctement.
    exemple : Xperia S est listé alors qu’il demande la confirmation. Donc non, pas vulnérable.

  39. Mon MOTOROLA Atrix MB860 ( ROM Max Blur 5 – Android 2.3.6 version Bell Mobility CA ) affiche bien mon code IMEI après avoir éffectué votre test !!!

  40. HTC One X Révolution HD 9.7 vulnerable
    Avec telstop c’est bon mais faut le mettre en app par défaut
    pour bloqué le code c’est pas invisible

  41. Sur galaxy s3 sous Android Jelly Bean 4.1.1 officiel (version europeenne) la faille ne fonctionne pas. Ca a avait été découvert en effet sur le s3, mais en ics 4.0.4

  42. Euuuh ce test est bidon. J’ai un HTC Evo 3D qui affiche bien L’IMEI mais si j’execute le script qui efface les Samsung, j’ai une demande de confirmation puis si je confirme ça ne marche PAS ! TESTÉ ET APPROUVÉ !!!! Alors svp stop le mensonge

  43. Galaxy Y Gingerbread 2.3.6 vulnérable VOICI un moyen d’être invulnérable, installer Avast ! Mobile Security sa vous affichera ‘Une adresse web a tenté d’exécuter un code, si vous n’ête pas a l’origine e de cette action, appuyez sur Anuler ‘

Les commentaires sont fermés.

Mode