Des millions de smartphones – y compris le Samsung Galaxy S3, le Samsung Galaxy S2, le HTC One X et le HTC Desire – peuvent être effacés en visitant simplement un site web malicieux qui intègre un code particulier dans les hyperliens, comme l’ont averti des experts en sécurité.
Le problème est dû en effet à une faille de sécurité dans certaines versions du logiciel du composeur de numéros Android. La vulnérabilité exploite une chaîne de caractères qui active le factory reset (une réinitialisation à l’état de sortie de l’usine) de certains smartphones, parce qu’ils n’imposent pas une interaction avec l’utilisateur avant de procéder à la fonction encodée dans la chaîne de caractères. Le code devrait être intégré comme un lien pour pousser l’utilisateur à l’activer. En plus, il serait plus facile de le représenter comme un lien innocent vers Google ou un autre site. Le clic sur le lien active l’effacement du smartphone sur-le-champ.
Les utilisateurs disposant de gadgets vulnérables à cette faille pourraient installer un composeur de numéros tiers et le configurer en tant que composeur par défaut. Ainsi, ils seront protégés contre cette attaque « d’effacement à distance ».
HTC a répondu à ce propos : « Nos appareils ne supportent pas le code USSD pour une option factory reset ». Ce qui signifie qu’ils ne seraient pas vulnérables à l’exploit décrit ci-dessus.