Une rafale de SMS suffit pour faire planter les smartphones Google Nexus

Mettre hors de service un smartphone Nexus par des attaques de déni de service, c’est possible. Le chercheur en sécurité Bogdan Alecu en a fait la démonstration vendredi dernier, à l’occasion de la conférence Defcamp, qui s’est déroulé fin de semaine dernière à Bucarest. Comme il l’explique auprès de PC World, il suffit d’envoyer une série de SMS de « classe 0 » pour faire planter le terminal.
Ce type de SMS, également appelé « Flash SMS », est défini par le standard GMS, mais il est assez peu connu et encore moins utilisé. Le Flash SMS s’affiche directement sur l’écran de l’appareil sous la forme d’une fenêtre pop-up. Mais contrairement au SMS classique, il n’est pas automatiquement enregistré. Il est nécessaire que l’utilisateur valide ou rejette le message pour le faire disparaître.  

Le problème sur le Google Nexus, c’est que l’utilisateur n’est pas prévenu par l’arrivée d’un tel message, que ce soit par un son ou une vibration. Il peut donc en recevoir plusieurs de suite sans qu’il s’en aperçoive. Et au bout d’une trentaine de Flash SMS accumulés sur l’écran, des bogues apparaissent : le terminal peut « freezer », perdre la connexion Internet mobile, ou tout simplement redémarrer.
Testé sur Android KitKat

Bogdan Alecu a testé cette faille sur les téléphones Nexus, Nexus 4 et Nexus 5, avec différentes versions d’Android 4. En particulier, il a confirmé la faille sur Android 4.4 KitKat. Contacté par PC World, Google se montre reconnaissant vis-à-vis du chercheur en sécurité.« Nous le remercions d’avoir soulevé ce problème et nous sommes en train de l’analyser », explique le géant du web.
Heureusement, envoyer un Flash SMS n’est pas à la portée de tout le monde, car cette fonctionnalité n’est généralement pas disponible sur les téléphones. Sur un iPhone, il faut d’abord « jailbreaker » le système, puis installer une application de type iPhone Delivery. Sur Android, l’application"ero SMS"permet d’envoyer des Flash SMS, à condition que le terminal soit « rooté ». Certains services web proposent également d’envoyer des Flash SMS. C’est le cas par exemple d'OVH. Ceux qui n’ont pas peur des commandes machines et qui aiment le bricolage peuvent aussi se lancer dans la création d’un terminal dédié, basé sur des cartes Arduino.