Une nouvelle faille de sécurité touche les smartphones Samsung qui fonctionnent sous Android 4.1.2 (Jelly Bean) avec l'interface utilisateur TouchWiz. Elle reprend, en partie, certains points de celle découverte un peu plus tôt sur la page de verrouillage, mais permet cette fois d'utiliser ses applications.
Il y a un peu moins de deux semaines, une première faille de sécurité concernant l'interface utilisateur TouchWiz des smartphones Samsung fonctionnant sous Android 4.1.2 (Jelly Bean) avait était remontée. Les Galaxy SIII ou Note II étaient par exemple concernés. Elle permettait alors de passer au travers de l'écran de verrouillage, sans avoir à valider un mot de passe, un dessin, etc.
Une nouvelle brèche a été détectée. Cette fois-ci il n'est plus question de passer complètement à travers les blocages... mais il est d'utiliser certaines applications restées en arrière-plan ou d'en lancer d'autres. Là encore, cela demande une certaine dose de dextérité pour pouvoir y arriver. Notez que nous avons pu reproduire le problème avec un Galaxy SIII (firmware I9300XXEMA2).
Voici la démarche à reproduire :
- Sur l'écran de verrouillage, vous appuyez sur Appel d'urgence
- Vous tapez ensuite un chiffre entre 0 et 9 et vous appuyez sur le bouton d'appel
- Vous ignorez le message d'erreur qui apparait
- Vous appuyez ensuite sur le bouton physique « retour »
- Pendant un bref moment, vous allez voir apparaître l'interface de votre smartphone ou la dernière application utilisée, si vous ne l'avez pas fermée.
Il est alors possible d'utiliser brièvement l'application qui est ouverte et faire de très courtes tâches dessus. Vous pouvez voir ci-dessous sur la vidéo sur un Galaxy Note II :
Pour limiter l'impact de ce bug, il est possible de désactiver certaines options. Pour ce faire, il suffit d'aller dans les Paramètres d'Android, puis d'activer les Options de développement et de désactiver les Échelle animation fenêtre et Échelle animation transition.
Dès lors, les délais impartis pour exécuter les tâches sont particulièrement réduits et cela devrait limiter la possibilité de passer au travers de cette faille de sécurité. Sachez enfin que Samsung a été une nouvelle fois alertée concernant ce nouveau problème et qu'un correctif est en cours de réalisation.
Commentaires (29)
C’est un concours de celui qui balance la meilleur faille dans son nouveau OS entre les deux gamins?
" />
Sans modifier les paramètres Options de développement (et en les laissant à désactiver), le temps d’affichage où l’on peut faire ce que l’on veut est déjà extrêmement réduit.
Une preuve supplémentaire que les surcouches ne servent à rien en plus de retarder une sortie de version d’Android plus récente…
Et korben en balance une nouvelle sur les iphone aujourd’hui !
" />
Bientot Java va être jaloux
Sur la vidéo, qu’est-ce qui provoque le “Locking disabled” à la fin, c’est une appli particulière qu’il a installé ? Ou ça marche avec n’importe quel “clic” ?
" />
En tout cas ça a l’air assez simple à faire, faut juste être super patient
Pas réussi à le reproduire sur mon sgs3 4g en 4.1.2.
J’ai testé sur mon sgs2, en effet, je vois l’appli derrière, mais c’est furtif. (je suppose qu’avec une caméra assez rapide je dois pouvoir prendre une image de ce qui s’affiche, mais pour l’utiliser, ça me semble assez dur, avec les valeurs par défaut tout du moins)
Ça ne le fait pas, même pas un éclair de seconde, sur mon GS3.
EDIT : Pour info j’ai désactivé SVoice, et j’avais déjà l’échelle d’animation transition et fenêtre à 0.5x
entre les failles, les pannes, et ceci chez samsung comme chez les autres (confere recemment les pb d’extinction des xperia Z de sony) j’ai vraiment l’impression qu’on nous vend de la daube ! mais attention pas nimporte quelle daube, de la daube hors de prix ! du premier choix !
Un peu léger comme “faille de sécurité”
Pour info:
iOS 6.1.3 : encore une faille du côté du déverrouillage
En gros fallait acheter un smartphone HTC et pas un Samsung ou un Apple quoi.
" />
Pas très exploitable comme faille.
Pour les surcouches, ça permet de palier au faiblesse d’Android sur certains points. Si c’est bien fait, c’est un atout. Bon là y’a un chti bug. Que celui qui n’a jamais eu un bug dans un programme un peu costaud lève la main. Et bon, vu la faille, c’est pas bien grave (j’ai même pas d’écran de verouillage, je risque pas d’avoir une faille de sécurité avec lui ;))
titre racoleur “à nouveau touchés par une faille de sécurité”
*click*
*lecture*
bon en final c’est juste la même faille exploitée différement
*retourne bosser*
Bug ancien et ultra connu, il a même un nom : le locked-in syndrome.
" /> 
" />
" /> )
(