Med Android 5 ble det innført en sårbarhet som gjør det relativt enkelt å omgå låseskjermen. Den forutsetter dog at skjermen er låst med et passord. (Foto: Adam Berry/Getty Images/All Over Press)

Android

Sårbarhet gjør det enkelt å omgå låseskjermen

Berører de fleste nyere Android-enheter.

Sikkerhetsforskere ved University of Texas i Austin publiserte denne uken detaljer om en sårbarhet (CVE-2015-3860) som gjør det mulig å omgå låseskjermen på Android-baserte enheter, slik at en angriper med fysisk tilgang til enheten, også man få tilgang til alt innholdet.

Leste du denne? Tilsynelatende legitim Android-app utnytter kjent sårbarhet 

Kun Lollipop

Det er dog to forutsetninger for at denne sårbarheten skal kunne utnyttes. For det første finnes den kun i Lollipop-utgavene av Android (5.0 og nyere). Dessuten må enheten være stilt inn slik at man bruker et passord, og ikke for eksempel pin-kode eller mønster, for å låse opp skjermen.

Dersom det brukes passord, kan sårbarheten utløses ved at man ved at man fra låseskjermer åpner en kamera-app og deretter går inn på innstillingene via varslingsfeltet øverst på skjermen. Da blir man bedt om å taste inn låseskjermens passord, og er dette veldig langt, skjer det en krasj i brukergrensesnittet, noe som etter litt tid gjør hjemmeskjermen tilgjengelig.

Det dreier seg om en klassisk overflytsfeil.

Lover månedlige sikkerhetsfikser: Storoffensiv mot Stagefright-feilen 

Kjempelangt passord

I beskrivelsen til University of Texas i Austin foreslås det at man bruker et felt i funksjonen for nødsamtaler til å sette sammen et veldig langt passord, som man deretter kopierer dette og limer det inn mange ganger i passordfeltet. Men dette kan gjøres på ulike måter.

Offentliggjøringen av denne sårbarheten skjedde etter at Google hadde fjernet den fra Android 5.1.1, sammen med flere andre sårbarheter, inkludert alle kjente Stagefright-sårbarheter. Denne oppdateringen har bygg-/delversjonsnummer LMY48M og har blitt rullet ut til nyere Nexus-enheter.

Det er uklar hvor raskt disse sikkerhetsfiksene vil bli gjort tilgjengelige for andre enheter, hvorav de fleste er utstyrt med en eldre versjon av Android enn 5.1.1.

Bakgrunn: Det haster å fjerne Android-sårbarheter 

Til toppen