Hacking

OnePlus 6 : un bug permet d’accéder à vos données même verrouillé

En raison d’un bug logiciel, il suffit de brancher l’appareil en USB sur un ordinateur pour exécuter un autre système d’exploitation et acquérir les droits d’administrateur.  

Dans une vidéo envoyée sur Twitter, le chercheur montre en effet que si le OnePlus 6 est redémarré en mode Fastboot, il est possible de booter sur n’importe quel autre système d’exploitation et de configurer un accès root. C’est le principe de base de ce mode, qui regroupe à la fois le protocole de diagnostic spécial, qui permet de booter depuis une image système sur un PC en USB, et le logiciel qui s’exécute sur le smartphone.
Néanmoins, en théorie, ce mode ne devrait pas être accessible de la sorte. En effet, dans la vidéo, on voit que le bootloader est verrouillé, ce qui devrait donc empêcher l’exécution d’un autre système.

Il est vrai que certains fournisseurs autorisent les utilisateurs à déverrouiller leur bootloader, mais les données stockées sont alors automatiquement effacées, par mesure de sécurité. Rien de tout cela dans le cas du OnePlus 6. Non seulement il est possible d’exécuter un autre système, mais en plus les données sont parfaitement conservées et donc accessibles à une personne malveillante.

Un patch est en préparation

Les risques potentiels sont graves et multiples. Si un utilisateur se fait voler son OnePlus 6, le voleur peut très simplement accéder à la totalité des données stockées sur l’appareil. Si l’utilisateur laisse traîner son OnePlus 6, par exemple dans sa chambre d’hôtel, quelqu’un disposant d’un accès privilégié pourrait en profiter pour voler des données ou installer un logiciel d’espionnage (Evil Maid Attack).

Alerté par Jason Donenfeld, OnePlus a annoncé qu’une mise à jour serait disponible prochainement pour remédier à ce problème. Cette faille de sécurité fait suite à une autre découverte il y a quelques semaines. Des chercheurs en sécurité néerlandais ont montré qu’une simple photo permettait de déjouer l’authentification par reconnaissance faciale.

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench