ESET, leader en matière de protection proactive qui célèbre cette année les 25 ans de sa technologie, annonce la disponibilité d’une application gratuite, ESET USSD Control, permettant de corriger une très dangereuse faille de sécurité découverte sur certains smartphones opérant sous Android. ESET est l’un des tout premiers éditeurs d’antivirus à proposer un correctif sous la forme d’une application Android sur Google Play. Après avoir installé l’application, l’utilisateur doit vérifier si son smartphone est sensible à ce type d’attaque en utilisant ESET USSD test.
La faille détectée permet à des cybercriminels d’effacer à distance les données du téléphone en invitant les utilisateurs à pointer sur une adresse URL, directement ou à travers un message textuel ou encore un code QR.
« ESET USSD Control est une application qui permet aux utilisateurs de smartphones Android de pouvoir contrôler la vulnérabilité de leur appareil contre des numéros de téléphone malveillants (code USSD) avant qu’ils aient été numérotés. De cette manière, les sites web malicieux sont bloqués. ESET USSD Control protège et sécurise les données du smartphone Android en empêchant ces codes malveillants de s’exécuter, » déclare Tibor Novosad, responsable des applications mobiles chez ESET.
L’application ouvre une fenêtre d’alerte à chaque fois qu’un code USSD malveillant est trouvé en bloquant l’exécution de la commande (ESET analyse uniquement les codes USSD et ne conserve pas en mémoire les numéros composés). Afin de protéger son smartphone contre des attaques USSD, l’utilisateur doit s’assurer que l’application ESET USSD Control est installée par défaut.
Comment ces codes malicieux opèrent :
Les codes USSD (Unstructured Supplementary Service Data) de type #123# ou #126*06xxxxxxxx# sont employés par certains opérateurs de téléphonie mobile pour offrir des services à distance. Un exemple d’un tel code est celui qui affiche le code IMEI, mais d’autres commandes USSD peuvent être utilisées pour restaurer les paramètres par défaut initialement installés par le constructeur. Les pirates sont ainsi capables d’effacer à distance toutes les données en lançant ce type de commande. Ravishankar Borgaonkar, un chercheur du département de la sécurité des télécommunications à l’université technologique de Berlin, a récemment simulé, devant des acteurs du marché de l’antivirus, une attaque permettant d’effacer à distance des données lors de l’Ekoparty Security Conference à Buenos Aires en Argentine.
ESET suit activement les problèmes de sécurité récents sur Android et les autres plates-formes, les utilisateurs peuvent suivre ces actualités sur ESET ThreatBlog. Pour tester le fonctionnement d’ESET USSD Control, les utilisateurs sont invités à se rendre à cette adresse Internet (page en Anglais) : http://blog.eset.com/2012/10/01/free-android-ussd-
