Pwn2Own : une faille dans le NFC du Galaxy SIII

C’est lors de la compétition Mobile Pwn2Own, qui s’est déroulé mercredi à Amsterdam, que l’exploit a été découvert.
Une équipe de chercheurs en sécurité de l’entreprise MWR Labs a trouvé et exploité 2 failles 0Day dans le NFC (Near Field Communication) du Samsung Galaxy SIII avec Android 4.0.4.

Les Samsung Galaxy S2 et S3 ont un logiciel de gestion de documents installé par défaut. L’équipe a réussi à créer un fichier spécialement crée pour provoquer le plantage du logiciel. Ce fichier est envoyé d’un Galaxy S3 à un autre par NFC, et une fois reçu, il est automatiquement ouvert, déclenchant lui même le hack qui permettra de prendre le contrôle total du mobile (et d’accéder ainsi aux SMS, mails, contacts, photos, et bien plus encore : installer des logiciels comme des keyloggers etc…). Le WiFi est également activé pour garder une connectivité entre le logiciel malveillant et le hacker.

Une fois la démonstration faite, les hackers ont transmis leurs données à Samsung, pour que le constructeur corrige cette faille.