Un chercheur en sécurité de l’Université du Texas a mis la main sur une jolie faille de sécurité dans Android, qui concerne les versions 5.0 à 5.1.1 (CVE-2015-3860). Celle-ci permet de contourner l’écran de verrouillage du smartphone en insérant une énorme suite de caractères en guise de mot de passe, après avoir activé l’appli de l’appareil photo. L’opération demande néanmoins un peu de doigté.
Tout d’abord, il faut ouvrir l’appli d’appel d’urgence pour constituer une suite de caractères la plus longue possible (par exemple des astérisques) et la copier. Ensuite, il faut retourner dans l’appareil photo et ouvrir le menu des réglages. Ceci provoquera l’apparition d’un champ mot de passe, dans lequel on copiera la suite de caractères autant de fois que possible. Ce qui peut se révéler un peu fastidieux au fur et mesure que la chaîne de caractères s’allonge.
A un certain moment, l’interface graphique de la demande d’authentification va alors crasher, ne laissant plus que celle de l’appareil photo. Ensuite, il suffit d’attendre que cette appli, à son tour, jette l’éponge. L’attaquant pourra alors accéder à l’écran « home », avec les mêmes privilèges que le propriétaire.
D’après les chercheurs, le temps d’attente est assez variable. Dans sa vidéo de démonstration (voir ci-dessus), le chercheur a patienté six bonnes minutes avant de voir l’appli de l’appareil photo crasher. Par ailleurs, ce hack n’est pas possible à tous les coups. Il ne fonctionne que si le propriétaire de l’appareil utilise un mot de passe pour le déverrouiller, et non pas un PIN ou un schéma. De son côté, Google a apporté un correctif avec la build « LMY48M » d’Android 5.1.1 et remercié le chercheur avec un chèque de 500 dollars.
Source:
Note de blog de l’Université du Texas
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
