Quelques jours après la publication des correctifs de sécurité de novembre , nous sommes de retour pour parler d'une vulnérabilité récemment découverte affectant le système d'exploitation Android : le chercheur David Schütz a pu contourner l' écran de verrouillage du smartphone simplement en utilisant une carte SIM normale. Le fonctionnement de cette faille de sécurité est dangereusement simple : il faut qu'un attaquant ait physiquement accès au smartphone et qu'il soit en possession d'une SIM protégée par un code PIN et dont il connaisse aussi le code PUK et le tour est joué. En insérant la SIM dans le smartphone à la place de l'ancienne, l'utilisateur sera invité à saisir le code PIN, et c'est précisément à ce moment qu'il est possible d'exploiter la faille. En fait, il suffit de confondre délibérément le code PIN trois fois, puis de taper le code PUK pour déverrouiller le smartphone, en contournant complètement l'écran de verrouillage. Vous pouvez voir l'ensemble du processus dans la vidéo ci-dessous, publiée par David Schütz sur sa chaîne YouTube.



Sans entrer dans les détails, sachez simplement que le système d'exploitation Android affiche l'écran de verrouillage "au-dessus" de toutes les autres activités : dans certains cas, pour retirer cet écran il suffit de s'authentifier avec son empreinte digitale ou via la reconnaissance faciale, alors que dans d'autres cas il faut entrer le code (cela se produit généralement après avoir juste allumé l'appareil). Dans le cas de cette faille, lorsque l'utilisateur insère la nouvelle SIM protégée par un code PIN, un "nouvel écran de verrouillage" s'affiche au- dessus de celui classique, dans lequel insérer le code PIN et le code PUK de la SIM . Lorsque le code PUK est confirmé, le système d'exploitation supprime tous les écrans de verrouillage (c'est-à-dire la demande de code PIN et celui d'Android classique auquel nous sommes tous habitués), alors qu'il devrait se limiter à masquer l'écran du code PIN de la SIM. Cette faille de sécurité est très efficace avec les appareils qui ont été déverrouillés au moins une fois avant d'effectuer cette procédure : dans le cas où l'appareil vient d'être allumé, la faille fonctionnera toujours, mais il sera impossible d'accéder à certaines données et certaines applications pourront mauvais (c'est parce que le système d'exploitation ne rend toutes les données accessibles qu'après avoir été déverrouillées au moins une fois).

Bien que la faille ait été découverte sur un téléphone Pixel, le bug est présent directement dans le code source de l' Android Open Source Project (AOSP) : cela signifie que tous les appareils exécutant des logiciels basés sur ce code pourraient être vulnérables. Certains utilisateurs ont confirmé que le processus ci-dessus fonctionne sur les appareils exécutant LineageOS et GrapheneOS, alors qu'il semble qu'il ne fonctionne pas sur les nouveaux appareils Samsung. Cette vulnérabilité est officiellement enregistrée sous le nom CVE-2022-20465 et Google a déjà confirmé l'avoir complètement corrigée : la société a publié les correctifs dans le code source AOSP d'Android 13 et des versions antérieures (notamment Android 10, 11 et 12). Au cours des prochains jours , les différents fabricants publieront une mise à jour pour résoudre ce problème dangereux.