Un chercheur tombe sur une dangereuse faille Android qui contourne l’écran de verrouillage

admin0


Avez-vous déjà trouvé une fonctionnalité sur votre téléphone par accident ? Cet écrivain se souvient avoir découvert qu’un défilement rapide depuis le bas de l’écran Pixel 2 XL m’amènerait à ma première page d’écran d’accueil lorsque je parcourais d’autres pages d’écran d’accueil. Votre serviteur utilise maintenant ce raccourci tout le temps sur l’iPhone 11 Pro Max et l’utilise maintenant sur mon Pixel 6 Pro.

Un chercheur tombe sur une grave vulnérabilité d’Android

Parfois, vous pouvez rencontrer quelque chose de plus dangereux ; quelque chose qui peut menacer la sécurité des données personnelles sur votre téléphone. Selon BleepingComputer, le chercheur en cybersécurité David Schütz a découvert un moyen de contourner l’écran de verrouillage des combinés Pixel 6 et Pixel 5. Cela pourrait permettre à toute personne connaissant cette méthode et possédant le téléphone d’accéder directement à l’écran d’accueil.

Selon le rapport, il ne faut que cinq étapes et quelques minutes pour utiliser ce hack. La bonne nouvelle est que Google a corrigé cette vulnérabilité dans la mise à jour de sécurité Android de novembre publiée le 7 novembre. La mauvaise nouvelle est que le piratage était disponible pour les attaquants pendant au moins six mois avant la diffusion du correctif. Mais pour ceux d’entre vous qui n’ont jamais envie d’installer une mise à jour de sécurité, voici les raisons pour lesquelles il est important d’installer chacune d’entre elles.

Schütz a déclaré avoir découvert la faille par accident après la mort de sa batterie Pixel 6. Il a saisi trois fois son code PIN de manière erronée et a récupéré la carte SIM verrouillée à l’aide du code PUK (Personal Unblocking Key). Le PUK est utilisé pour réinitialiser un code PIN perdu ou oublié. Ces informations peuvent être obtenues auprès de votre fournisseur de services sans fil. En règle générale, après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, un téléphone Android demande le mot de passe ou le schéma de l’écran de verrouillage pour des raisons de sécurité.

Mais grâce à la faille, Schütz a déclaré que son Pixel 6 avait plutôt demandé une analyse d’empreintes digitales, ce qui est considéré comme un comportement inhabituel. Après avoir joué avec l’appareil, il a constaté que s’il lançait le processus sur son Pixel 6 alors qu’il était déjà déverrouillé, le téléphone contournerait la demande de numérisation d’empreintes digitales et permettrait à la personne tenant l’appareil d’accéder directement à l’écran d’accueil.

Les téléphones Android exécutant ces versions du système d’exploitation sont vulnérables

Les téléphones exécutant Android 10, 11, 12 et 13 sans le correctif de sécurité de novembre 2022 restent vulnérables au piratage. Avouons-le, l’exploitation de cette vulnérabilité nécessite que l’attaquant soit en possession du téléphone ciblé et déverrouillé. Mais si votre combiné a été volé, ou récupéré par les forces de l’ordre sur assignation à comparaître, ou vient de disparaître, la personne en possession de l’appareil pourrait échanger la carte SIM qu’il contient contre celle de son téléphone, désactiver l’authentification biométrique, saisir le mauvais Numéro PIN trois fois et tapez le numéro PUK. Cette personne a maintenant accès à l’écran d’accueil de votre téléphone.

Schütz a signalé la vulnérabilité à Google en juin dernier et les températures plus fraîches et les couchers de soleil plus précoces devraient vous rappeler que nous ne profitons plus de la saison estivale. Pour ses ennuis, Schütz a reçu 70 000 $ par Google pour avoir porté cette faille à son attention. L’unité Alphabet avait désigné un numéro CVE (Common Vulnerabilities and Exposures) de CVE-2022-20465 pour la faille.

Alors qu’avons-nous appris ici ? Eh bien, nous avons appris que jouer sur votre téléphone pouvait vous aider à trouver une vulnérabilité, surtout si vous êtes un chercheur en cybersécurité. Nous avons appris qu’il est important d’installer les mises à jour de sécurité dès qu’elles sont disponibles (généralement le premier lundi de chaque mois pour les combinés Android). Et nous avons aussi appris qu’il vaut parfois mieux être égoïste et refuser de prêter son téléphone à quelqu’un en prétextant qu’il doit passer un appel, même un appel d’urgence.

Désolé d’être si dur, mais il y a eu des cas où quelqu’un a demandé à passer un appel à des fins d’urgence, puis s’est enfui avec le combiné du Bon Samaritain. En cas d’urgence, vous pouvez dire à la personne que vous ferez l’appel en son nom.



Source link -12