Une simple carte SIM. C’est tout ce dont avait besoin une personne mal intentionnée jusqu’au dernier patch de sécurité de novembre, pour accéder aux données stockées sur votre Google Pixel.
David Schütz (via Gizmochina), un développeur spécialisé dans la sécurité informatique et la recherche de bug a découvert cette vulnérabilité.
Comment fonctionne ce bug ?
L’idée était simple : insérer une carte SIM dans un Pixel puis taper trois codes PIN incorrects. Là, le Pixel demandait le code PUK de la carte SIM. Une fois celui-ci rentré, il suffisait de créer un nouveau code PIN et le mot de passe de l’appareil ne vous était même pas demandé pour y accéder.
Voici le procédé complet en vidéo :
Sur son blog, David Schütz explique brièvement les raisons de ce bug. Il semblerait que, sur Android, il existe un concept « d’écran de sécurité », qui peut être plusieurs choses différentes. Il peut s’agir d’un écran de verrouillage avec code PIN, un écran demandant l’empreinte digital, ou encore un écran demandant le code PUK.
D’après l’interprétation du chasseur de bug, certains écrans ont une priorité sur d’autres. Lorsque le code PUK était entré, celui-ci envoyait une commande désactivant les écrans moins prioritaires. Les ingénieurs de Google ont, semble-t-il, retravaillé ce système pour éviter qu’un tel bug arrive à nouveau.
Plusieurs mois d’attentes
Le bug touchait potentiellement un grand nombre d’appareils, puisque le correctif le corrigeant a été appliqué aux versions AOSP d’Android 10, 11, 12, 12L et 13. Si vous êtes possesseur d’un Pixel (Pixel 4a ou plus récent), vous devriez dès maintenant pouvoir mettre à jour votre appareil avec le patch de sécurité de novembre et ainsi contourner cette vulnérabilité.
La chasse au bug peut s’avérer payante avec Google, le développeur a tout de même été rémunéré 70 000 dollars pour avoir alerté la firme de Mountain View sur ce qu’elle qualifie de « problème système de gravité élevée ».
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
[…] source […]
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix