On se dit parfois qu’une faille de sécurité, c’est compliqué à comprendre, qu’il faut être un expert et comprendre l’art du code pour l’exploiter… ce n’est pas toujours vrai.
Une nouvelle faille de sécurité (CVE-2015-3860) vient d’être publiée suite aux recherches de l’Université du Texas à Austin, elle permet de contourner l’écran de verrouillage d’android, dans certaines conditions.
Première condition : il faut utiliser un écran de verrouillage par mot de passe pour pouvoir exploiter cette faille, les utilisateurs qui déverrouillent leurs terminaux via un schéma, une image ou autre ne sont pas concernés.
Ensuite, il faut un terminal Android qui n’est pas encore en Android 5.1.1 (Build LMY48M), ce qui est le cas de très nombreux terminaux mais pas des Nexus, si vous avez installé la mise à jour de sécurité fournie par Google récemment.
La faille est liée à la taille du mot de passe saisi, en saisissant un mot de passe suffisamment long et lorsque l’application caméra est démarrée, il est possible de faire « planter » l’écran de verrouillage de l’appareil et ainsi, de tomber sur la page d’accueil du terminal.
A partir de là, tout est possible : récupérer des données, démarrer des applications, activer les accès développeur pour prendre le contrôle total du terminal… une fois un terminal déverrouillé, vous vous en doutez, tout devient possible.
Pour ne pas être exposé à cette faille, la solution est simple : n’utilisez pas de mot de passe, changez de type d’écran de déverrouillage.
Il est aussi possible de mettre à jour son terminal, à la condition de disposer de ladite mise à jour, ce qui n’est pas forcément le cas selon le modèle de votre terminal et selon votre opérateur, votre pays…
Enfin, soyez conscients que même en changeant de type d’écran de déverrouillage, il existe encore au moins une faille : vous, si vous utilisez des schémas connus, simples comme des lettres de l’alphabet par exemple.