Une faille Android permet d'accéder au contenu d'un smartphone sans utiliser le mot de passe
John Gordon, un chercheur de l’Université du Texas a découvert une faille affectant les terminaux sous Android Lollipop. La faille permet de passer au-delà de l’écran de verrouillage des terminaux Android.
Créer un crash pour passer au-delà
Cette faille consiste à provoquer un crash temporaire de l’appareil. Il est ensuite possible d’exploiter ce crash pour prendre contrôle de l’appareil. Les personnes capables d’exploiter cette faille ont donc accès à toutes les données de l’utilisateur. Ils ont un accès avec les mêmes permissions que le propriétaire du smartphone sous Android 5.
Comme le révèle John Gordon dans sa vidéo, il suffit d’ouvrir l’option permettant de composer un numéro d’appel d’urgence. Les utilisateurs peuvent ainsi entrer une longue série de chiffres et les copier. Après avoir lancé le raccourci de l’appareil photo, on ouvre l’écran demandant le mot de passe pour déverrouiller le téléphone. Il faut ensuite coller la série de chiffres plusieurs fois. Selon la vidéo de John Gordon (visible ci-dessous), il faut environ 163 840 caractères. Après quelque temps, le smartphone sera déverrouillé et le « hacker » aura accès au smartphone.
Une mise en pratique limitée
En revanche, il faut réaliser qu’il est impossible d’exploiter cette faille de l’écran de verrouillage à distance. Les personnes mal intentionnées qui envisagent d’obtenir un accès grâce à cette faille devront avoir le terminal dans les mains. Cela demande aussi de l’avoir assez longtemps en main pour effectuer les manipulations nécessaires.
Il est vrai que les mots de passe sont généralement la méthode la plus sûre pour protéger un smartphone Android, cette faille a aussi ses faiblesses. Mis à part le besoin d’entrer manuellement une longue série de caractères, elle est inutilisable si l’utilisateur utilise un mot de passe basé sur un code PIN ou un motif à tracer.
Une mise à jour pour se protéger de cette faille
Après avoir découvert la faille, Gordon a averti Google en août. Le géant a ensuite proposé un correctif pour colmater cette faille. Les terminaux Nexus mis à jour seraient déjà protégés. Rien d’officiel n’a été confirmé par les autres constructeurs avec des terminaux sous Lollipop comme Samsung ou LG. Ils devraient aussi proposer une mise à jour améliorant la sécurité de leurs terminaux très bientôt.
40% des smartphones Android dans le monde sont touchés par une faille de cybersécurité
Le système Android est sous l'emprise d'une faille de sécurité majeure qui pourrait concerner plus de 40% des smartphones Android utilisés dans le ...
Une faille WiFi affecte plus d'un milliard d'iPhone et de smartphones Android
Lors de la conférence RSA 2020, des chercheurs de l'ESET ont révélé, l'existence d'une vulnérabilité découverte dans les réseaux Wi-Fi avec chiffrement WPA2 CCMP. Heureusement, cette faille a depuis ...
Android : une nouvelle faille de sécurité permet d'installer un malware via le Bluetooth
Le système d'exploitation Android rencontre encore à nouveau des problèmes de sécurité. Google vient de publier un correctif concernant une faille critique dans le sous-système Bluetooth d'Android permettant ...
Malware Android, une faille repérée permet de pirater les comptes bancaires
Promon, un partenaire de Lookout vient de signaler une vulnérabilité dans l'OS Android qui permet à une application d'afficher une activité dans le contexte de l'interface utilisateur d'une autre ...
Une faille de sécurité provenant des puces Qualcomm touche des millions de smartphones Android
Keegan Ryan, un chercheur en sécurité informatique a découvert une faille de sécurité dans les CPU fabriqués par Qualcomm. Cette faille est située dans l'implémentation de l'algorithme de signature cryptographique ECDSA au niveau ...