Sperrbildschirm von Android 5.x lässt sich einfach umgehen

SicherheitSicherheitsmanagement
Android Probleme (Grafik: ZDNet.de)

Dazu muss nur die Kamera-App gestartet und eine lange Zeichenfolge in das Passwort-Feld eingegeben werden. Google hat einen Patch für die Lücke bereitgestellt, allerdings nur für Android 5.1.1 die Nexus-Geräte. Ob und wann andere Hersteller nachziehen ist unklar.

Einem Sicherheitsforscher der University of Texas ist es gelungen, den Sperrbildschirm von Geräten mit Android 5.x Lollipop auf einfache Weise zu umgehen. Inzwischen hat Google einen Patch für die Sicherheitslücke entwickelt. Der steht allerdings nur für Android 5.1.1 (Build LMY48M) und lediglich für Googles Nexus-Geräte zur Verfügung. Ob und wann ihn andere Hersteller für ihre Smartphones und Tablets anbieten, ist noch nicht bekannt.

Smartphone Sperrbildschrim (Bild: Shutterstock/Novi Elysa).
Einem Forscher der Universität von Texas zufolge lässt sich der Sperrbildschirm von Android 5.x einfach umgehen (Bild: Shutterstock/Novi Elysa).

Um den Sperrbildschirm auszutricksen, wird lediglich die Kamera-App gestartet und danach eine beliebige, sehr lange Zeichenfolge in das Passwort-Feld eingegeben. Das bringt den Sperrbildschirm und die Kamera-App zum Absturz. Danach sieht der Angreifer den Home-Bildschirm und hat vollständige Kontrolle über das Gerät.

Dem Bericht des texanischen Wissenschaftlers zufolge ist es sogar möglich, dann in den Systemeinstellungen die Entwickleroptionen und darin die Android Debug Bridge zu aktivieren. Darüber lassen ich dann unter anderem alle gespeicherten Daten abrufen. Das funktioniert auch bei aktivierter Verschlüsselung. Außerdem lassen sich beliebige Anwendungen ausführen.

Der Hack funktioniert allerdings nur, wenn der Sperrbildschirm für die Eingabe eines Passworts konfiguriert wurde. Die Muster- oder PIN-Abfrage ist auf diese Weise offenbar nicht angreifbar. Zudem hat der Forscher seinen Exploit, nur mit einem Nexus 4 mit Android 5.1.1 Build LMY48I getestet. Welche und ob Geräte anderer Hersteller betroffen sind, ist nicht bekannt.

Außerdem muss das überlange Passwort offenbar durch Kopieren und Einfügen von Zeichen in das Passwortfeld der Sperrbildschirm-App erzeugt werden. Ein Besitzer eines Samsung Galaxy Note 5 schreibt auf Reddit, dass dies auf seinem Gerät nicht funktioniert hat.

Google ist die Schwachstelle seit Juni bekannt. Das Unternehmen stuft das davon ausgehende Risiko als “moderat” ein. Den Patch für die Lücke verteilt Google seit 9. September mit seinem ersten monatlichen Sicherheits-Update. Nach Bekanntwerden der Stagefright-Lücke hatte Google angekündigt, einmal pro Monat sicherheitsrelevante Fehler in Android zu beseitigen.



[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen