Décidément Android est de plus en plus victime de faille. Après les dernières failles découvertes sur Android, voilà qu’un chercheur en sécurité de l’Université du Texas a mis la main sur une nouvelle faille de sécurité dans Android, et qui concerne cette fois-ci les versions Lollipop 5.0 à 5.1.1 (CVE-2015-3860).

Cette faille permet contourner l’écran de verrouillage de votre Smartphone rien qu’en insérant une énorme suite de caractères en guise de mot de passe. En effet, pour faire crasher l’écran de verrouillage il suffit simplement d’accéder aux appels d’urgence puis d’entrer une chaîne de caractères, les surligner et les copier.

Ensuite copiez et de collez  autant de fois que possible cette chaîne de caractères dans le champ mot de passe. Puis rendez vous dans l’application photo, et faites apparaître la zone de notifications et lorsque l’application demande à nouveau le mot de passe, copiez cette même chaîne.

Il suffit ensuite  d’attendre que l’application Photo plante, et à ce moment, le terminal se débloque et l’attaquant pourra alors accéder à l’écran d’accueil, avec les mêmes privilèges que le propriétaire.

Le temps de d’attente est variable, par exemple dans sa démonstration (voir vidéo ci-dessous), le chercheur a patienté six minutes avant de voir l’application Photo planter.

Il faut noter que cette faille ne touche que les appareils verrouillés par un mot de passe, et non pas un PIN ou un schéma. Prévenu de cette faille, Google a apporté un correctif avec la build « LMY48M » d’Android 5.1.1 et a remercié le chercheur avec un chèque de 500 dollars.