Les différentes méthodes de verrouillage actuelles pour les téléphones vont-elles devenir obsolètes ? En effet, de plus en plus de failles permettent de passer outre ces protections. Preuve en est avec cette nouvelle faille découverte par un certain jgor puis relayée par le blog de l’université de Texas à Austin aux États-Unis. Cette nouvelle brèche touche tous les mobiles sous Android 5.0 à 5.1.1 Lollipop équipés des builds antérieures à la LMY48M. Elle permet d’accéder à un smartphone verrouillé par son utilisateur par le biais d’un mot de passe.
Son fonctionnement est plutôt simple, comme vous pouvez le voir dans la vidéo ci-dessous. La technique consiste à faire crasher l’écran de verrouillage pour pouvoir accéder aux données du téléphone. Il suffit d’accéder au mode d’appel d’urgence puis d’y insérer une longue suite de caractères et de la copier dans le presse papier, puis d’y coller cette suite une dizaine de fois. Une fois l’opération effectuée, le hacker se rend dans l’application photo accessible depuis le lockscreen, puis essaye d’accéder aux paramètres du mobile par le biais du volet de notification. Le téléphone lui demande alors le mot de passe configuré par l’utilisateur. Le hacker va simplement coller la suite de caractères enregistrée précédemment jusqu’à ce que l’application de photo crashe totalement, au bout de plusieurs minutes. Dès lors que l’application ne répond plus, il est possible d’accéder au lanceur d’applications et d’avoir accès à l’ensemble du téléphone.
La vulnérabilité a déjà été corrigée par Google par le biais d’un patch publié en août dernier et présent dans la dernière build LMY48M. Malheureusement, seuls les téléphones Nexus sont pour l’instant protégés de cette nouvelle faille, et il y a de fortes chances pour que de nombreux autres modèles ne soient jamais protégés de cette nouvelle faille. Ce qui est plutôt inquiétant lorsqu’on sait que 1 mobile sur 5 dans le monde est actuellement sur Android Lollipop. Pour l’heure, la seule solution pour les smartphones non patchés est d’utiliser un schéma de verrouillage ou un code PIN qui ne sont pas susceptibles d’être touchés, contrairement au mot de passe.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
j'ai pas prétendu le contraire. Mais justement, si cela fait si longtemps que tu connais frandroid, à un moment, si la qualité n'est pas / plus là, faut décrocher...
Le silence de la honte, ou juste la flemme de répondre?
Parce que tu penses que je me limite à FrAndroid? Détrompe-toi. Pour info, je suis FrAndroid quasiment depuis sa création, et je vois tout son potentiel. Désolé d'être déçu d'un site qui se présente comme "la référence francophone concernant Android", mais qui ne l'est pas, alors qu'il avait tout pour le devenir...
Une faille où la personne attaquante doit avoir le téléphone dans la main ne m'inquiète pas trop. Une fois dans la main de toute façon j'aurai perdu toutes mes données. Cette faille sera le moindre de mes soucis !
lequidam, plusieurs posts pour taper sur frandroid (sur le fond je suis d'accord avec toi)... Pourquoi tu perds ton temps ici ? Yen a un paquet d'autres sites de news android de meilleure qualité. Ca me rappelle l'époque où je trainais sur jv.com et pestais quasiment après chacune de leurs news à la con. Au bout d'un moment, faut laisser tomber, passer ses nerfs et son énergie de manière plus utile et aller se cultiver ailleurs...
clickbait, qu'est ce tu veux...
pareil pour mon S5 :) copier coller impossible dans le code de secours et dans l'appel d'urgence
Oui, tu mets trop de données dans un champ, si c'est mal gaulé, ça va jardiner dans un espace mémoire contigu qui n'est pas prévu pour ça et ça plante le programme.
Pas de pb sur Sony Xperia série Z, pas d'accès au copier coller dans les appel d'urgence).
c'est pas ça l'overflow? quand tu casses la limite du champs?
Pour les autres non plus. Fouillez un peu avant d'écrire des bêtises. - Les Nexus sont patchés (donc non vulnérables) - Les autres appareils sous Android 5.x.x ont des surcouches qui, pour la plupart, ne sont pas concernées par cette faille. Encore un article d'anthologie à mettre au palmarès de FrAndroid.
<strong>Oui.</strong>
Idem sur S6 avec le mot de passe de secours du déverrouillage par empreinte. Impossible de copier ou coller du contenu.
pareil pour mon s6, pas moyen de copier coller depuis l'écran appel d'urgence. Donc protégé, je pense que la faille doit exister sur stock android je pense et peut être sous quelques surcouches constructeurs
Je risque rien: J'ai supprimé l'application photo de mon Xperia E3 et ma Nexus 7 ne fait pas téléphone. D'autant que je trouve que les mots de passe sont chiants à retenir. Je préfère les codes PIN.
donc si j'ai bien compris ça concerne que les protections par mot de passe ? mais qui combien de personne utilise un mot de passe chiant et long à taper comparer à un schéma ou un code pin ?
Pas de problème pour les personnes qui ont l'empreinte digitale !
Et pour ceux qui n'ont ni de symbole et de mots de passe, mais uniquement avec le balait du doigt.
Testé sur mon LG G2 avec la dernière build AOSPA mais ça n'a pas fonctionné en plus d'être horriblement long et désagréable.
Fonctionne pas sur mon S5
c'est pas jeu, avec Lycos j'avais pas trouvé :( cela dit il n'y a pas le "b" que j'utilise pour le gras, il faut utiliser <em>strong</em> ?
Oui donc on peut faire un article à propos de la faille énorme de tous les terminaux Android sous d'ancienne version qui sont vulnérable à ADB... Mais merci pour la précision bien que je suppose qu'avec certain bootloader custom il doit être possible de copié toutes les données sur la carte SD sans mot de passe de déverrouillage.
sur les vieilles version d'ios et d'android OUI sur les nouvelles si l'ecran est verouillé, les commandes ADB ne fonctionnent pas tant que l'appareil est verouillé
qui utilise la protection par mot de passe ? la majorité des gens que je vois déverrouiller leur smartphone utilisent soit le mode "pattern" (motif à dessiner entre des points), ou "PIN" (code numérique de quelques chiffres)
Fonctionne sur du stock seulement apparemment, pas de possibilité de CC sur G4
Marche pas sur mon Xperia M4 Aqua.
C'est secret. Si je te le dis, je dois te tuer après ;-)
C'est quelle balise pour mettre en italique ?
non je vais attendre, je ne suis pas à un jour près. Mais merci quand même.
<i>"mais un nombre considérable d’appareils est toujours concerné."</i> ...est peut-être concerné. A vérifier.
"Ce qui est plutôt inquiétant lorsqu’on sait que 1 mobile sur 5 dans le monde est actuellement sur Android Lollipop" Oula je tremble, un bug qui permet de déverrouiller mon téléphone après 8 minutes... en rootant ou en installant un bootloader custom sur le tel depuis un fichier placé sur la carte SD on doit pouvoir faire la même chose et extraire les infos que l'on veut par USB, verrouillage ou non.
Sans compter que les surcouches modifient partiellement le code d'Android, et que les lockscreens son souvent différents. Mais bon ça, FrAndroid ne va quand même pas jusqu'à vérifier avant de balancer une info... Ce serait dommage pour le nombre de clics.
Ca ferait un bien meilleur titre franchement... :/
Titre normal, aucun suivi (ou presque de la part des constructeurs/opérateurs) sur Android. Moi j'aurai même titré : "La faille a été patchée par Google pendant le mois d’août, mais un nombre considérable d’appareils est toujours concerné."
j'aurais bien essayé, snif !
"La faille a été patchée par Google pendant le mois d’août, mais un nombre important d’appareils était concerné." Joli titre racoleur, car vous vous contredisez dans le paratexte de l'article...
Oui donc on découvre cette faille suite justement au correctif de Google. C'est en analysant les diffs de la version LMY48M que le bloggeur a "découvert" cette faille ?
Un 4s? Pour que tu le revendes 180€ et que tu t'achetes un Xiaomi Gongmi Rice Note 2 pro avec 4Go de ram à la place ? Tu ne m'auras pas aussi facilement mon petit...
non j'ai pas essayé. je regarde de suite. Merci pour l'info. edit : non pas dispo :(
je suis sur Nexus 4, j'ai eu la mise à jour LMY48M avant-hier. essaye de forcer l'update ? au pire tu l'as là : https://developers.google.com/android/nexus/images
Tu es condamné à utiliser un IPhone 4 pour le restant de tes jours pour avoir fait cette blague.
non pitié pas un 4, au moins un 4s sur IOs 8 stp :D
je pense être touché (je ne suis pas allé au bout de la manip) sur Nexus 4 en build LMY48I (5.1.1) si ça continue je vais acheter un Iphone...
Non il faut normalement un mars et ça repart ;p
Idem sur mon S6 Edge
Euh j'ai un Moto G sur AOSP, et on ne peut pas copier tant que l'appareil n'est pas déverrouillé.
Comme quoi les surcouches peuvent avoir du bon...
Idem sur G2, impossible de copier quoi que ce soit dans l'appel d'urgence.
Le pire c'est que ça me paraît une technique de hack hyper courante: crasher une application avec un trop plein de données. Et du coup ça ne marche pas avec kit kat et antérieur ?
Tu ne peux pas coller dans l'emplacement du mot de passe, aucun copier coller autorisé dans le mot de passe et dans l'appel d'urgence
Et si on colle un contenu préalablement copier par le propriétaire ?
Du moins pas sur les LG sous 5.x car il est impossible de copier coller depuis l'ecran de verouillage et les appels d'urgences
Fonctionne pas sur le G3, on ne peut pas copier le contenu de ce qu'on tape ni dans le mot de passe ni dans l'appel d'urgence, par conséquent impossible à reproduire
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix