Une faille Android permet d'accéder au contenu d'un smartphone sans utiliser le mot de passe
Crédit Photo : AndroidJohn Gordon, un chercheur de l’Université du Texas a découvert une faille affectant les terminaux sous Android Lollipop. La faille permet de passer au-delà de l’écran de verrouillage des terminaux Android.
Créer un crash pour passer au-delà
Cette faille consiste à provoquer un crash temporaire de l’appareil. Il est ensuite possible d’exploiter ce crash pour prendre contrôle de l’appareil. Les personnes capables d’exploiter cette faille ont donc accès à toutes les données de l’utilisateur. Ils ont un accès avec les mêmes permissions que le propriétaire du smartphone sous Android 5.
Comme le révèle John Gordon dans sa vidéo, il suffit d’ouvrir l’option permettant de composer un numéro d’appel d’urgence. Les utilisateurs peuvent ainsi entrer une longue série de chiffres et les copier. Après avoir lancé le raccourci de l’appareil photo, on ouvre l’écran demandant le mot de passe pour déverrouiller le téléphone. Il faut ensuite coller la série de chiffres plusieurs fois. Selon la vidéo de John Gordon (visible ci-dessous), il faut environ 163 840 caractères. Après quelque temps, le smartphone sera déverrouillé et le « hacker » aura accès au smartphone.
Une mise en pratique limitée
En revanche, il faut réaliser qu’il est impossible d’exploiter cette faille de l’écran de verrouillage à distance. Les personnes mal intentionnées qui envisagent d’obtenir un accès grâce à cette faille devront avoir le terminal dans les mains. Cela demande aussi de l’avoir assez longtemps en main pour effectuer les manipulations nécessaires.
Il est vrai que les mots de passe sont généralement la méthode la plus sûre pour protéger un smartphone Android, cette faille a aussi ses faiblesses. Mis à part le besoin d’entrer manuellement une longue série de caractères, elle est inutilisable si l’utilisateur utilise un mot de passe basé sur un code PIN ou un motif à tracer.
Une mise à jour pour se protéger de cette faille
Après avoir découvert la faille, Gordon a averti Google en août. Le géant a ensuite proposé un correctif pour colmater cette faille. Les terminaux Nexus mis à jour seraient déjà protégés. Rien d’officiel n’a été confirmé par les autres constructeurs avec des terminaux sous Lollipop comme Samsung ou LG. Ils devraient aussi proposer une mise à jour améliorant la sécurité de leurs terminaux très bientôt.
