[INFO] XPrivacy le retour...

Bonsoir à tous,

Il semble d'après des retours obtenus dans le forum XDA que le fait de reverrouiller le "bootloader" après avoir installé un "Custom Recovery" (TWRP par ex.), Xposed Framework puis XPrivacyLua, puisse provoquer l'effacement des données personnelles. :-(

Quelques recherches par ailleurs avec d'autres sources semblent le confirmer.

Je laisse donc les experts techniques de notre forum se prononcer.

Salut,

Y'a pas grand chose à dire si ce n'est : "oui, ça peut être le cas pour certains appareils".
Impossible de te donner un chiffre par contre...
Je ne vois pas l'intérêt de reverrouiller le bootloader de toute façon. Chiffre les données, c'est tout non ?

Hi
@cesa et @primo bonne année à vous deux car je ne me souviens plus si je l'ai deja dis...
Du même avis que @primo...si ton bootloader est déverrouillé aucun intérêt de le reverrouiller sauf si c'est réellement nécessaire pour un SAV par exemple...encore que ce ne soit pas forcement obligatoire.
Pour l'appli...cela avance, plus de choix. Cela m'a demandé un redémarrage du phone après les réglages de toutes mes applications car sans cela, XprivacyLua ralentissait mon phone.

Merci yadida, une bonne année à toi aussi.

A propos du reverrouillage du "bootloader", il me semblait que s'il reste déverrouillé, la sécurité du smartphone était plus difficile à assurer. Ce serait une sorte de porte ouverte pour des actes malveillants.

Je peux me tromper. Alors dites-moi ce que vous en pensez.

Merci d'avance pour vos retours et ceux de tous ceux qui nous lisent.

Peux-tu en dire plus ?
Je ne me suis jamais lancé dans le "hacking" Android mais tu peux éventuellement faire un test simple. Mets un recovery custom pour installer Xposed + XPrivacyLua par exemple (vois si ça fonctionne ), chiffre tes données (via l'option du téléphone et pas une appli téléchargée sur le web) puis essaie d'installer un nouveau recovery ou un nouveau firmware.

Normalement, tu n'auras toujours pas accès aux données. Le seul moyen de démarrer le téléphone ou d'accéder au recovery est de saisir le mot de passe / PIN. Si tu ne le connais pas, tu n'as pas d'autres choix que d'effacer tout le contenu du téléphone et repartir à zéro.

Autant je voyais l'intérêt du bootloader re-verrouillé il y a quelques années mais maintenant que le chiffrement des données est une option incluse dans Android, il n'est plus nécessaire de faire des noeuds au cerveau

Salut Primokorn,

En dire plus : non pas vraiment. Je pensais simplement qu'avoir un "bootloader" déverrouillé n'était pas conseillé du point de vue sécurité.

Je retiens donc qu'il faut chiffrer mes données pour ne plus avoir ce type de pensée :-)

Tout de même, si le smartphone est en cours d'utilisation par son propriétaire légitime, et donc même si mes données sont chiffrées, n'y a-t-il pas une facilitation accrue pour une application malveillante, si le "bootloader" est deverrouillé ?

Le fait de re-verrouiller le bootloader empêche l'installation d'un nouveau firmware, d'un nouveau modem, d'un nouveau recovery... C'est indépendant du système d'exploitation où sont gérées les applications.

Si tu chiffres tes données :
Quand ton téléphone est allumé, les données ne sont pas chiffrées sinon dur dur de t'en servir
Pour ma part, c'est là qu'intervient la mise en place de l'écran de verrouillage (code PIN avec 8 chiffres minimum et empreinte digitale).
En cas de perte de mon téléphone, il me suffit de lui envoyer des instrucions par SMS et il fera telle ou telle chose dont s'éteindre => données à nouveau chiffrées.

*** Correction ***
Dans l'absolu, il est recommandé de reverrouiller le bootloader pour les raisons évoquées ici. Dans l'absolu de l'absolu, même avec un bootloader verrouillé, on reste vulnérable (c'est la faute à Meltdown et Spectre )

Pour ma part, je ne trouve pas cela nécessaire. Le chiffrement des données me semble largement suffisant par rapport à mon modèle de menace.

Merci Primokorn pour toutes tes précisions, et pour l'article en référence.

Je comprends bien ce que le chiffrement Android des données t'apporte, par rapport à ton modèle de menace.

C'est vrai que si les vulnérabilités matérielles (précision pour les non initiés...) Meltdown et Spectre s'y mettent aussi, alors là je retourne dans une grotte avec Marcel (M66B) :-)