Könnyedén feltörhetőek az androidos telefonok

Az Android ötös verzióját (5.x – 5.1.1, a LMY48M előtti verziók), a Lollipopot használó készülékek hiába védettek jelszóval, John Gordon biztonsági szakértő rájött, hogy viszonylag könnyedén, szakértelem nélkül (és egy kis türelemmel) megkerülhető a védelem. A PIN, a feloldási minta, illetve a koppintásos védelem nem játszható ki ezzel a módszerrel, kizárólag a jelszavas.

A trükk abból áll, hogy a segélyhívó felületen be kell pötyögni néhány karaktert, majd ezeket a vágólapra másolni, illetve onnan sokszor beilleszteni. A karaktersort újra és újra a vágólapra másolva exponenciálisan nő a beillesztett méret, így rövid úton el lehet érni a maximálisan beírható 40 960 karaktert.

Ezután a kamera alkalmazásból (ami lezárt készülék esetén is működik) kérni kell a jelszóbeviteli mezőt, ahova néhányszor beillesztve az extrém hosszú tartalmat (a videón 163 840 egység elég) ki kell várni azt a 4-5 percet, mire teljesen megadja magát a telefon és visszatér a kezdőképernyőre.

A kutató még augusztusban értesítette a sebezhetőségről a Google technikusait, a vállalat pedig ki is adott egy javítást a múlt héten. Mivel azonban a gyártók egyedileg hagyják jóvá a frissítéseket, illetve szolgáltatófüggő készülékek esetén még egy láncszem kerül a gépezetbe, sok telefon a mai napig (és várhatóan még sokáig) sebezhető marad.

A gyártók egyedi felületei és alkalmazásai miatt nem minden készüléken reprodukálható a hiba, például azokon az eszközökön, amelyeken a lezárt képernyős kamera nem engedi lehúzni az értesítési függönyt, vagy ahol nem enged a vágólapra másolni a segélyhívó felületén.

Azóta történt

Előzmények