Cette faille Android déjoue l’écran de verrouillage du smartphone

 

Une vulnérabilité a été trouvée sur Android et elle permet de passer outre l'écran de verrouillage d'un smartphone. Pour cela, elle utilise le mode multi-utilisateur du téléphone, qui permet de créer plusieurs sessions sur un appareil.

L’écran de verrouillage du Honor Magic 4 Lite // Source : Frandroid – Robin Wycke

Les failles de sécurité de nos smartphones font partie du quotidien de nombreux développeurs, bien qu’on ne s’en rende pas toujours compte. Ce 15 juillet, par exemple, une nouvelle menace de sécurité a été découverte et aurait infecté trois millions d’appareils Android. À cela s’ajoute une nouvelle vulnérabilité révélée permettant de contourner l’écran de verrouillage en exploitant une brèche dans le mode multi-utilisateur sur Android.

Pour rappel, le mode multi-utilisateur permet d’ajouter des sortes de sessions, à l’instar de ce qu’on trouve sur Windows, mais sur Android. C’est utile pour les appareils qui sont partagés par plusieurs personnes, dans le cadre professionnel ou familial avec des espaces personnalisés.

Une faille de sécurité sur Android pour déverrouiller un smartphone sans le code

Josué Nearchos, membre de la communauté des laboratoires Maveris a publié un article sur Medium dans lequel il parle de « CVE-2022-20006». On y apprend qu’il est « possible de visualiser brièvement ce qui se trouve derrière l’écran de verrouillage » en faussant le niveau des autorisations accordées. « L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation [de la faille] ».

Ce qui pose problème, c’est la transition entre les profils d’utilisateurs. Dans son article, Josué Nearchos explique comment déverrouiller un smartphone sous Android sans code, mot de passe, etc. Lors du passage d’un profil quelconque au profil cible, il faut cliquer rapidement sur le profil cible ainsi que sur le bouton d’accueil. Une fois la manipulation réalisée, on peut accéder à l’écran d’accueil du profil cible. Elle n’est pas simple à réaliser et la faille est limitée.

En effet, « en cas de succès, l’écran d’accueil des utilisateurs cibles vous sera présenté et vous pourrez naviguer et accéder à tout ce qui se trouve dans ce profil d’utilisateur cible pendant un temps limité (généralement 5 à 30 secondes) avant que l’écran de verrouillage ne réapparaisse ». Si ça peut paraître très peu utile, cela peut être suffisant pour installer des logiciels malveillants.

Les prérequis pour faire fonctionner la faille

Heureusement, certaines conditions restreignent l’exploitation de la faille. Il faut un accès physique à l’appareil, qui doit être sous Android 10, 11 ou 12, « avec des niveaux de correctifs de sécurité antérieurs au 5 juin 2022 ». Un bon rappel à faire, c’est qu’il faut mettre à jour vos appareils, y compris pour les mises à jour de sécurité.

En plus de ça, il faut que la navigation à trois boutons soit activée, pas la navigation par gestes. Ensuite, « l’écran de verrouillage doit être activé », tout comme la fonction multi-utilisateur, avec au moins deux utilisateurs, même si l’un est un profil « invité ».


Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.