Schwere Sicherheitslücke

Android-User umgeht Display-Sperre auf Google Pixel - versehentlich

Uhr
von Maximilian Schenner und yzu

Ein Cybersecurity-Forscher hat im Juni 2022 eine Methode gefunden, um die Displaysperre von Android-Smartphones in nur fünf Schritten zu umgehen. Google soll das Problem inzwischen behoben haben - nach mehr als fünf Monaten.

(Source: ©pixtural - stock.adobe.com)
(Source: ©pixtural - stock.adobe.com)

Eigentlich wollte David Schütz nur sein Google Pixel 6 neu starten. Stattdessen entdeckte der Cybersecurity-Forscher eine schwere Sicherheitslücke auf dem Android-System, die Millionen von Geräten betreffen könnte, wie "Bleepingcomputer" berichtet.

Der Vorfall habe sich im Juni 2022 ereignet. Nachdem der Akku seines Google Pixel 6 leer gegangen war, habe Schütz sein Smartphone neu gestartet und seinen PIN-Code drei Mal falsch eingegeben. Mittels Personal Unblocking Key (PUK) verschaffte er sich dann Zugriff auf die gesperrte SIM-Karte, wie Schütz auf seinem persönlichen Blog schreibt - bis hierhin der übliche Vorgang für jemanden, der seine PIN vergessen hat. Nach Eingabe des PUK, der auf der Verpackung der SIM-Karte zu finden ist, kann der Nutzer eine neue PIN für die Karte festlegen.

Anstelle des Sperrbildschirms, der nach einem Neustart aufscheinen sollte, habe das Display des Google-Geräts das Icon für den Fingerabdruck-Scan angezeigt. Wie Schütz weiter schreibt, habe das Smartphone seinen Fingerabdruck akzeptiert - zu Schütz' grosser Überraschung, denn eigentlich sollte nach einem Reboot eine Sperrbildschirm-PIN oder ein Passwort erforderlich sein, um auf das Gerät zuzugreifen.

Nach einiger Zeit des Experimentierens habe der Security-Forscher versucht, bei gesperrten Bildschirm die SIM-Karte auszutauschen und erneut via PUK den PIN-Code zurückzusetzen. Daraufhin sei er nicht auf dem Sperrbildschirm, sondern direkt auf dem Startbildschirm gelandet - diesmal sogar ohne seinen Fingerabdruck zu scannen. Auch eine Wiederholung des Vorgangs habe dasselbe Ergebnis geliefert. Schliesslich konnte Schütz den Prozess auf fünf Schritte herunterbrechen, wie im folgenden Video zu sehen ist.

Die möglichen Auswirkungen der Sicherheitslücke seien fatal - jede Person, die physischen Zugriff auf eines der betroffenen Modelle erlange, könne es auf diese Weise entsperren. Und betroffen sind laut “Bleepingcomputer” sehr viele Geräte - nämlich alle, auf denen die Android-Versionen 10, 11, 12 und 13 laufen. Inzwischen habe Google die Schwachstelle, die als CVE-2022-20465 getrackt wird, mit einem Patch am 5. November 2022 ausmerzen können - etwa fünf Monate, nachdem Sicherheitsforscher Schütz diese gemeldet hatte.

Probleme mit der persönlichen Freiheit gibt es auch für Apple-User. Seit iOS 14.5 können iPhone-User darüber entscheiden, ob Apps ihr Verhalten tracken dürfen. Sicherheitsforscher haben nun entdeckt, dass Apples eigene Apps diese Einstellungen komplett ignorieren und munter weiter tracken - mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_274520

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter