Les failles de sécurité de nos smartphones font partie du quotidien de nombreux développeurs, bien qu’on ne s’en rende pas toujours compte. Ce 15 juillet, par exemple, une nouvelle menace de sécurité a été découverte et aurait infecté trois millions d’appareils Android. À cela s’ajoute une nouvelle vulnérabilité révélée permettant de contourner l’écran de verrouillage en exploitant une brèche dans le mode multi-utilisateur sur Android.
Pour rappel, le mode multi-utilisateur permet d’ajouter des sortes de sessions, à l’instar de ce qu’on trouve sur Windows, mais sur Android. C’est utile pour les appareils qui sont partagés par plusieurs personnes, dans le cadre professionnel ou familial avec des espaces personnalisés.
Une faille de sécurité sur Android pour déverrouiller un smartphone sans le code
Josué Nearchos, membre de la communauté des laboratoires Maveris a publié un article sur Medium dans lequel il parle de « CVE-2022-20006 ». On y apprend qu’il est « possible de visualiser brièvement ce qui se trouve derrière l’écran de verrouillage » en faussant le niveau des autorisations accordées. « L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation [de la faille] ».
Ce qui pose problème, c’est la transition entre les profils d’utilisateurs. Dans son article, Josué Nearchos explique comment déverrouiller un smartphone sous Android sans code, mot de passe, etc. Lors du passage d’un profil quelconque au profil cible, il faut cliquer rapidement sur le profil cible ainsi que sur le bouton d’accueil. Une fois la manipulation réalisée, on peut accéder à l’écran d’accueil du profil cible. Elle n’est pas simple à réaliser et la faille est limitée.
En effet, « en cas de succès, l’écran d’accueil des utilisateurs cibles vous sera présenté et vous pourrez naviguer et accéder à tout ce qui se trouve dans ce profil d’utilisateur cible pendant un temps limité (généralement 5 à 30 secondes) avant que l’écran de verrouillage ne réapparaisse ». Si ça peut paraître très peu utile, cela peut être suffisant pour installer des logiciels malveillants.
Les prérequis pour faire fonctionner la faille
Heureusement, certaines conditions restreignent l’exploitation de la faille. Il faut un accès physique à l’appareil, qui doit être sous Android 10, 11 ou 12, « avec des niveaux de correctifs de sécurité antérieurs au 5 juin 2022 ». Un bon rappel à faire, c’est qu’il faut mettre à jour vos appareils, y compris pour les mises à jour de sécurité.
En plus de ça, il faut que la navigation à trois boutons soit activée, pas la navigation par gestes. Ensuite, « l’écran de verrouillage doit être activé », tout comme la fonction multi-utilisateur, avec au moins deux utilisateurs, même si l’un est un profil « invité ».
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix