Pour déverrouiller un smartphone Android, un attaquant n’a qu’à répondre à un appel via l’appli SkypeUn correctif est disponible, mais ...
Une vulnérabilité dans l’application Skype pour Android peut permettre à des personnes avec de mauvaises intentions de contourner l’étape d’insertion du code de déverrouillage de l’écran. La trouvaille est de Florian Kunushevci.
Envoyé par Florian Kunushevci
Sans qu’il soit nécessaire de déverrouiller l’écran, j’ai pu accéder à des parties du téléphone qui requièrent une authentification par empreinte digitale ou par le biais de la reconnaissance faciale et du mot de passe.
J’ai pu voir toutes les photos et les répertoires d’albums, jeter un œil aux noms et numéros de la liste des contacts. J’ai même pu accéder au navigateur [via un lien saisi dans Skype] et à d’autres applications au travers de celui-ci.
D’après ce que rapporte le site spécialisé securityaffairs, le chercheur a découvert la brèche au mois d’octobre de l’année précédente et a prévenu Microsoft. Sur son Linkedin, Florian Kunushevci écrit : « une nouvelle vulnérabilité dans l'application Skype pour Android affectait des millions d'utilisateurs. Elle a été corrigée et la nouvelle mise à jour de l’application sera disponible dès le 23 décembre 2018. » Ceci laisse penser qu'il n' y a plus rien à craindre pour les utilisateurs qui ont procédé au téléchargement de l'application de télécommunications de Microsoft à partir de cette date. Mais, le problème est plus complexe qu’il n’y paraît et pour bon nombre d’internautes c’est le système d’exploitation lui-même (Android) qui est la passoire.
« Certes, l’application dispose des permissions pour accéder aux fichiers, mais on s’attend toujours à ce qu’elle respecte les restrictions relatives à l’accès à ces derniers lorsqu’on y accède (dans ce cas ci par le biais d’un appel Skype entrant) en dehors de l'écran de verrouillage. Sinon ce dernier perd de son intérêt », commente l’un de ceux-ci. Il vient que ce serait le système d’exploitation lui-même qui a besoin de correctif, ce pour quoi un autre internaute s’indigne en soulignant que 80 % des smartphones ne pourront appliquer le fix.
Le problème avec l’OS de la firme de Mountain View est connu de tous : les mises à jour mettent un temps énorme à arriver aux utilisateurs finals. En mai 2017, Google a justement annoncé un changement de l’architecture du système d’exploitation pour apporter réponse à cette plainte récurrente.
Sources : securityaffairs
Et vous ?
Qu’en pensez-vous ? Qui de l’application Skype ou du système d’exploitation Android est la véritable passoire dans ce cas ?Voir aussi :
Une faille permet de déverrouiller l'écran des téléphones Android 5.x en saisissant un très long mot de passe, un correctif a été publié Une faille de sécurité menace des millions de smartphones Android, elle concerne les puces de Qualcomm et affecte les anciennes versions de l'OS Une faille dans Android permet à un attaquant d'enregistrer l'activité de l'écran et l'audio système, Lollipop, Marshmallow et Nougat concernés Une vulnérabilité affecte 99 % des appareils sous Android lLa seconde faille exploitable sur la plateforme découverte par des analystes chinois
Vous avez lu gratuitement 13 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
