Mais cette fois, la vulnérabilité découverte ne nécessite aucune exécution de code malveillant ou de programme malicieux. Si vous êtes possesseur d’un smartphone tournant avec Android 5.x, faites attention à ne pas laisser votre téléphone à la portée de tout le monde même s’il est verrouillé.
En effet, un chercheur en sécurité informatique du nom de John Gordon est parvenu à déverrouiller un téléphone Nexus tournant sous Android en tapant un mot de passe hyper long alors que l’appareil photo était actif.
Pour y arriver, il a ouvert la fenêtre d’appel d’urgence et a saisi environ une dizaine de caractères. Il a ensuite copié et collé les mêmes caractères dans le même champ. Il a à nouveau sélectionné les caractères collés et a répété la même action de copier – coller dans le champ d’appel d’urgence. Il a effectué cette même action de sélection, copier – coller jusqu’à ce que les caractères collés soient tellement longs que l’action de sélection ne réponde plus.
Après cette étape, John est revenu sur l’écran verrouillé et a ouvert l’appareil photo en glissant le doigt vers la gauche. À partir de là, il a ouvert la fenêtre des mots de passe dans les paramètres en glissant le doigt à partir du haut.
Lorsque le champ du pot de passe pour déverrouiller l’écran est apparu, il a fait un appui long et a collé les caractères précédemment copiés dans le champ d’appel d’urgence. Comme la première fois, il a répété l’action de sélection – copier – coller jusqu’à ce que l’interface se plante et les boutons au bas de l’écran disparaissent. Puis il a ouvert l’appareil photo en mode plein écran.
Après quelques minutes d’attente, l’appareil photo a commencé à montrer des signes de ralentissement et des difficultés à garder le focus sur un objet. Encore quelques minutes d’attente, le système a basculé sur l’écran d’accueil. Dans d’autres cas, note Gordon, le crash de l’appareil photo ne donne accès qu’à des fonctionnalités limitées du système.
Cette méthode n’affecte que les versions 5.0 et 5.1 d’Android. Dans la version 4.4, il est possible de faire planter le système de la même manière, mais l’écran d’accueil est inaccessible. Pour utiliser le téléphone, il faut redémarrer l’appareil. De même seul le mode de déverrouillage avec code PIN est concerné.
Cette faille ne fonctionne pas si vous utilisez le mode de déverrouillage par glissement. Il faut également préciser que même si le test a été effectué sur un téléphone Nexus, cette faille affecte tous les téléphones des autres constructeurs tournant avec Android 5.x si bien entendu ils n'ont pas été personnalisés.
La vulnérabilité a été signalée à Google depuis le mois d’août. La firme l’a classée sous la référence CVE-2015-3860 en tant que vulnérabilité de sévérité modérée. Un patch est disponible depuis la semaine dernière afin de la corriger.
Source : Utexas.edu
Et vous ?
Que pensez-vous de cette nouvelle faille découverte ?
Forum Android
forum Sécurité