IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille permet de déverrouiller l'écran des téléphones Android 5.x en saisissant un très long mot de passe
Un correctif a été publié

Le , par Olivier Famien

239PARTAGES

1  0 
Il est notoire que la plateforme mobile étant la plus ciblée par les pirates ou celle comprenant le plus de failles répertoriées est le système d’exploitation Android. En général, les failles découvertes sur ce système nécessitent l’installation de programmes tiers ou l’exécution de code.

Mais cette fois, la vulnérabilité découverte ne nécessite aucune exécution de code malveillant ou de programme malicieux. Si vous êtes possesseur d’un smartphone tournant avec Android 5.x, faites attention à ne pas laisser votre téléphone à la portée de tout le monde même s’il est verrouillé.

En effet, un chercheur en sécurité informatique du nom de John Gordon est parvenu à déverrouiller un téléphone Nexus tournant sous Android en tapant un mot de passe hyper long alors que l’appareil photo était actif.

Pour y arriver, il a ouvert la fenêtre d’appel d’urgence et a saisi environ une dizaine de caractères. Il a ensuite copié et collé les mêmes caractères dans le même champ. Il a à nouveau sélectionné les caractères collés et a répété la même action de copier – coller dans le champ d’appel d’urgence. Il a effectué cette même action de sélection, copier – coller jusqu’à ce que les caractères collés soient tellement longs que l’action de sélection ne réponde plus.


Après cette étape, John est revenu sur l’écran verrouillé et a ouvert l’appareil photo en glissant le doigt vers la gauche. À partir de là, il a ouvert la fenêtre des mots de passe dans les paramètres en glissant le doigt à partir du haut.

Lorsque le champ du pot de passe pour déverrouiller l’écran est apparu, il a fait un appui long et a collé les caractères précédemment copiés dans le champ d’appel d’urgence. Comme la première fois, il a répété l’action de sélection – copier – coller jusqu’à ce que l’interface se plante et les boutons au bas de l’écran disparaissent. Puis il a ouvert l’appareil photo en mode plein écran.

Après quelques minutes d’attente, l’appareil photo a commencé à montrer des signes de ralentissement et des difficultés à garder le focus sur un objet. Encore quelques minutes d’attente, le système a basculé sur l’écran d’accueil. Dans d’autres cas, note Gordon, le crash de l’appareil photo ne donne accès qu’à des fonctionnalités limitées du système.

Cette méthode n’affecte que les versions 5.0 et 5.1 d’Android. Dans la version 4.4, il est possible de faire planter le système de la même manière, mais l’écran d’accueil est inaccessible. Pour utiliser le téléphone, il faut redémarrer l’appareil. De même seul le mode de déverrouillage avec code PIN est concerné.

Cette faille ne fonctionne pas si vous utilisez le mode de déverrouillage par glissement. Il faut également préciser que même si le test a été effectué sur un téléphone Nexus, cette faille affecte tous les téléphones des autres constructeurs tournant avec Android 5.x si bien entendu ils n'ont pas été personnalisés.

La vulnérabilité a été signalée à Google depuis le mois d’août. La firme l’a classée sous la référence CVE-2015-3860 en tant que vulnérabilité de sévérité modérée. Un patch est disponible depuis la semaine dernière afin de la corriger.

Source : Utexas.edu

Et vous ?

Que pensez-vous de cette nouvelle faille découverte ?

Forum Android

forum Sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de jumpers
Membre du Club https://www.developpez.com
Le 25/09/2015 à 9:56
<troll> comme d'habitude, Apple copie Google, maintenant, après que les utilisateurs Apple se soient déchainés sur Android pour l'overflow du mode d'appel d'urgence, ils pleurent face a la faille de Siri qui permet de faire pratiquement la même chose.

ils pleurent aussi pour les 4000+ applications infectées sur le store, Apple etant si infaillible, et sans virus.) </troll>
2  0 
Avatar de xetqL
Membre du Club https://www.developpez.com
Le 18/09/2015 à 19:09
Ne marche pas sur Galaxy S5 5.0 -> impossibilité de copié/collé nulle part sans s'être préalablement loggé (chez moi en tout cas).
0  0 
Avatar de derderder
Membre averti https://www.developpez.com
Le 18/09/2015 à 19:48
Pareil sur mon galaxy j5.
De plus en copiant dans le presse papier un enorme texte j'ai remarqué que le champs d'entre de mot de passe n'en copie qu'une partie et efface les caracteres de debuts au fur et à mesure que j'en rajoute.
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 19/09/2015 à 10:47
Citation Envoyé par derderder Voir le message
Pareil sur mon galaxy j5.
De plus en copiant dans le presse papier un enorme texte j'ai remarqué que le champs d'entre de mot de passe n'en copie qu'une partie et efface les caracteres de debuts au fur et à mesure que j'en rajoute.
Ce que vous décrivez ressemble plus au focus de fin de saisie
Malgré tout ce genre de faille pourrait servir à ceux qui volent des portables si il veulent aussi les données, sinon ils n'on qu'à la flasher et pour ça pas besoin de faille
0  0 
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 25/09/2015 à 21:09
Arf ! il est déconcertant de constater qu'une simple attaque de type 'buffer overflow' puisse encore fonctionner au 21eme siècle, avec des systèmes qui on le pouvoir de se connecter à des serveurs de banques... ça laisse pantois....
Et non, les bases du 'hacking' on encore de beau jours devant eux malgré la multitude de développeurs et de chefs de projets surdiplomés... permettez moi de me gausser en solo, ça fait du bien parfois de voir ce genre d'exploit (à deux balles je vous l'accorde, mais ça marche !)
Bonne soirée à toutes et à tous.
0  0