IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut Une faille permet de déverrouiller l’écran les téléphones Android 5.x en saisissant un très long mot de passe
    Une faille permet de déverrouiller l’écran les téléphones Android 5.x en saisissant un très long mot de passe
    un correctif a été publié

    Il est notoire que la plateforme mobile étant la plus ciblée par les pirates ou celle comprenant le plus de failles répertoriées est le système d’exploitation Android. En général, les failles découvertes sur ce système nécessitent l’installation de programmes tiers ou l’exécution de code.

    Mais cette fois, la vulnérabilité découverte ne nécessite aucune exécution de code malveillant ou de programme malicieux. Si vous êtes possesseur d’un smartphone tournant avec Android 5.x, faites attention à ne pas laisser votre téléphone à la portée de tout le monde même s’il est verrouillé.

    En effet, un chercheur en sécurité informatique du nom de John Gordon est parvenu à déverrouiller un téléphone Nexus tournant sous Android en tapant un mot de passe hyper long alors que l’appareil photo était actif.

    Pour y arriver, il a ouvert la fenêtre d’appel d’urgence et a saisi environ une dizaine de caractères. Il a ensuite copié et collé les mêmes caractères dans le même champ. Il a à nouveau sélectionné les caractères collés et a répété la même action de copier – coller dans le champ d’appel d’urgence. Il a effectué cette même action de sélection, copier – coller jusqu’à ce que les caractères collés soient tellement longs que l’action de sélection ne réponde plus.


    Après cette étape, John est revenu sur l’écran verrouillé et a ouvert l’appareil photo en glissant le doigt vers la gauche. À partir de là, il a ouvert la fenêtre des mots de passe dans les paramètres en glissant le doigt à partir du haut.

    Lorsque le champ du pot de passe pour déverrouiller l’écran est apparu, il a fait un appui long et a collé les caractères précédemment copiés dans le champ d’appel d’urgence. Comme la première fois, il a répété l’action de sélection – copier – coller jusqu’à ce que l’interface se plante et les boutons au bas de l’écran disparaissent. Puis il a ouvert l’appareil photo en mode plein écran.

    Après quelques minutes d’attente, l’appareil photo a commencé à montrer des signes de ralentissement et des difficultés à garder le focus sur un objet. Encore quelques minutes d’attente, le système a basculé sur l’écran d’accueil. Dans d’autres cas, note Gordon, le crash de l’appareil photo ne donne accès qu’à des fonctionnalités limitées du système.

    Cette méthode n’affecte que les versions 5.0 et 5.1 d’Android. Dans la version 4.4, il est possible de faire planter le système de la même manière, mais l’écran d’accueil est inaccessible. Pour utiliser le téléphone, il faut redémarrer l’appareil. De même seul le mode de déverrouillage avec code PIN est concerné.

    Cette faille ne fonctionne pas si vous utilisez le mode de déverrouillage par glissement. Il faut également préciser que même si le test a été effectué sur un téléphone Nexus, cette faille affecte tous les téléphones des autres constructeurs tournant avec Android 5.x si bien entendu ils n'ont pas été personnalisés.

    La vulnérabilité a été signalée à Google depuis le mois d’août. La firme l’a classée sous la référence CVE-2015-3860 en tant que vulnérabilité de sévérité modérée. Un patch est disponible depuis la semaine dernière afin de la corriger.

    Source : Utexas.edu

    Et vous ?

    Que pensez-vous de cette nouvelle faille découverte ?

    Forum Android

    forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Profil pro
    Étudiant
    Inscrit en
    Mars 2011
    Messages
    44
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 44
    Points : 55
    Points
    55
    Par défaut ne marche pas sur Galaxy S5
    Ne marche pas sur Galaxy S5 5.0 -> impossibilité de copié/collé nulle part sans s'être préalablement loggé (chez moi en tout cas).

  3. #3
    Membre averti
    Homme Profil pro
    Lycéen
    Inscrit en
    Décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Décembre 2014
    Messages : 106
    Points : 322
    Points
    322
    Par défaut
    Pareil sur mon galaxy j5.
    De plus en copiant dans le presse papier un enorme texte j'ai remarqué que le champs d'entre de mot de passe n'en copie qu'une partie et efface les caracteres de debuts au fur et à mesure que j'en rajoute.

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par derderder Voir le message
    Pareil sur mon galaxy j5.
    De plus en copiant dans le presse papier un enorme texte j'ai remarqué que le champs d'entre de mot de passe n'en copie qu'une partie et efface les caracteres de debuts au fur et à mesure que j'en rajoute.
    Ce que vous décrivez ressemble plus au focus de fin de saisie
    Malgré tout ce genre de faille pourrait servir à ceux qui volent des portables si il veulent aussi les données, sinon ils n'on qu'à la flasher et pour ça pas besoin de faille
    Rien, je n'ai plus rien de pertinent à ajouter

  5. #5
    Membre du Club
    Inscrit en
    Mars 2011
    Messages
    28
    Détails du profil
    Informations forums :
    Inscription : Mars 2011
    Messages : 28
    Points : 46
    Points
    46
    Par défaut
    <troll> comme d'habitude, Apple copie Google, maintenant, après que les utilisateurs Apple se soient déchainés sur Android pour l'overflow du mode d'appel d'urgence, ils pleurent face a la faille de Siri qui permet de faire pratiquement la même chose.

    ils pleurent aussi pour les 4000+ applications infectées sur le store, Apple etant si infaillible, et sans virus.) </troll>

  6. #6
    Membre actif
    Avatar de Aiigl59
    Homme Profil pro
    Freelance
    Inscrit en
    Janvier 2008
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Jura (Franche Comté)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2008
    Messages : 88
    Points : 257
    Points
    257
    Billets dans le blog
    1
    Par défaut
    Arf ! il est déconcertant de constater qu'une simple attaque de type 'buffer overflow' puisse encore fonctionner au 21eme siècle, avec des systèmes qui on le pouvoir de se connecter à des serveurs de banques... ça laisse pantois....
    Et non, les bases du 'hacking' on encore de beau jours devant eux malgré la multitude de développeurs et de chefs de projets surdiplomés... permettez moi de me gausser en solo, ça fait du bien parfois de voir ce genre d'exploit (à deux balles je vous l'accorde, mais ça marche !)
    Bonne soirée à toutes et à tous.

Discussions similaires

  1. La NSA aurait un plan pour espionner les téléphones Android
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 3
    Dernier message: 27/05/2015, 10h42
  2. Réponses: 6
    Dernier message: 01/06/2014, 10h30
  3. Réponses: 25
    Dernier message: 19/07/2013, 13h56
  4. Réponses: 0
    Dernier message: 28/04/2010, 19h21
  5. Réponses: 0
    Dernier message: 01/10/2009, 01h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo