Ein Sicherheitsforscher der University of Texas hat eine einfache Methode entdeckt, den Sperrbildschirm von Geräten mit Android 5.x Lollipop zu umgehen. Google hat inzwischen einen Patch für die Lücke veröffentlicht, allerdings nur für Android 5.1.1 (Build LMY48M) und nur für seine eigenen Nexus-Geräte. Ob und wann andere Hersteller den Fix für ihre Smartphones und Tablets anbieten, ist unklar.
Dem Forscher zufolge ist es sogar möglich, in den Systemeinstellungen die Entwickler-Optionen und darin die Android Debug Bridge zu aktivieren. Darüber kann ein Hacker unter anderem alle gespeicherten Daten abrufen – auch bei aktivierter Verschlüsselung. Außerdem lassen sich beliebige Anwendungen ausführen.
Allerdings funktioniert der Hack nur, wenn der Sperrbildschirm für die Eingabe eines Passworts konfiguriert wurde. Die Muster- oder PIN-Abfrage ist offenbar nicht angreifbar. Zudem hat der Forscher seinen Exploit, den er auch in einem Video vorführt, nur mit einem Nexus 4 mit Android 5.1.1 Build LMY48I getestet. Welche Geräte anderer Hersteller betroffen sind ist nicht bekannt.
Eine weitere Einschränkung ergibt sich offenbar dadurch, dass das überlange Passwort durch Kopieren und Einfügen von Zeichen in das Passwort-Feld der Sperrbildschirm-App erzeugt wird. Ein Besitzer eines Samsung Galaxy Note 5 schreibt auf Reddit, dass dies auf seinem Gerät nicht funktioniert.
Google ist die Schwachstelle seit Juni bekannt. Das Unternehmen stuft das von ihr ausgehende Risiko als „moderat“ ein. Den Patch für die Lücke verteilt Google seit 9. September mit seinem ersten monatlichen Sicherheitsupdate. Nach Bekanntwerden der Stagefright-Lücke hatte sich Google verpflichtet, künftig einmal pro Monat sicherheitsrelevante Fehler in Android zu beseitigen.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
