Après la faille Stagefright qui a affolé les utilisateurs Android durant l’été, voici maintenant une nouvelle faille qui permet d’accéder à un téléphone verrouillé par un mot de passe. La faille a été patchée par Google pendant le mois d’août, mais un nombre important d’appareils était concerné.

ps4-hack

Les différentes méthodes de verrouillage actuelles pour les téléphones vont-elles devenir obsolètes ? En effet, de plus en plus de failles permettent de passer outre ces protections. Preuve en est avec cette nouvelle faille découverte par un certain jgor puis relayée par le blog de l’université de Texas à Austin aux États-Unis. Cette nouvelle brèche touche tous les mobiles sous Android 5.0 à 5.1.1 Lollipop équipés des builds antérieures à la LMY48M. Elle permet d’accéder à un smartphone verrouillé par son utilisateur par le biais d’un mot de passe.

Son fonctionnement est plutôt simple, comme vous pouvez le voir dans la vidéo ci-dessous. La technique consiste à faire crasher l’écran de verrouillage pour pouvoir accéder aux données du téléphone. Il suffit d’accéder au mode d’appel d’urgence puis d’y insérer une longue suite de caractères et de la copier dans le presse papier, puis d’y coller cette suite une dizaine de fois. Une fois l’opération effectuée, le hacker se rend dans l’application photo accessible depuis le lockscreen, puis essaye d’accéder aux paramètres du mobile par le biais du volet de notification. Le téléphone lui demande alors le mot de passe configuré par l’utilisateur. Le hacker va simplement coller la suite de caractères enregistrée précédemment jusqu’à ce que l’application de photo crashe totalement, au bout de plusieurs minutes. Dès lors que l’application ne répond plus, il est possible d’accéder au lanceur d’applications et d’avoir accès à l’ensemble du téléphone.

Lien Youtube
Chaine Youtube FrAndroid

La vulnérabilité a déjà été corrigée par Google par le biais d’un patch publié en août dernier et présent dans la dernière build LMY48M. Malheureusement, seuls les téléphones Nexus sont pour l’instant protégés de cette nouvelle faille, et il y a de fortes chances pour que de nombreux autres modèles ne soient jamais protégés de cette nouvelle faille. Ce qui est plutôt inquiétant lorsqu’on sait que 1 mobile sur 5 dans le monde est actuellement sur Android Lollipop. Pour l’heure, la seule solution pour les smartphones non patchés est d’utiliser un schéma de verrouillage ou un code PIN qui ne sont pas susceptibles d’être touchés, contrairement au mot de passe.