Quand la réinitialisation d’usine n’efface pas les données personnelles de certains mobiles sous Android…
Alors qu’une des premières choses à faire lorsqu’on souhaite vendre ou donner un mobile est d’effacer la totalité de ses données (photos, numéros de téléphone,…), de très nombreux smartphones sous Android ne suppriment pas totalement les données lorsque leurs futurs ex-propriétaires effectuent une réinitialisation d’usine.
En effet, des chercheurs de l’Université de Cambridge ont découvert que le fichier stockant les clés de décryptage sur les appareils testés n’avait pas été effacé lors de la réinitialisation d’usine, et ceci même lorsque le mobile était intégralement chiffré.
Des photos récupérées sur des mobiles d’occasion, achetés sur Ebay...
Très concrètement, avec l’accès à ce fichier, une personne malveillante pourrait utiliser une attaque de type brute-force et décrypter le dispositif. Les chercheurs ont ainsi réussi à accéder à de nombreuses données personnelles dans les appareils Android, à partir d’une grande variété de sources, y compris les SMS, les photos, les vidéos, et même des applications tierces.
De plus, les chercheurs ont été en mesure de récupérer un système d’authentification Google, leurs permettant ainsi de synchroniser toutes les données Google d’un utilisateur, y compris les mails privés.
Les mobiles, sous Android 2.2 à Android 4.3, ont été achetés sur Ebay… Autrement dit, certains regrettent déjà la vente de leurs anciens mobiles (et donc, par la même occasion de leurs données personnelles) sur Leboncoin, Priceminister… Ebay.
Les chercheurs ont estimé que 500 millions d’appareils Android étaient concernés et n’étaient pas en mesure de "nettoyer" entièrement les partitions de disque. Par ailleurs, 630 millions d’appareils ne pourraient pas supprimer les données des cartes SD internes.
Le rapport des chercheurs concernant cette faille est disponible ici.
Source : BGR