Android-Lücke erlaubt es Apps, den Sperrbildschirm zu deaktivieren

Die Bonner Sicherheitsspezialisten der Curesec GmbH haben eine Lücke in Android-Geräten mit Android 4.3 lokalisiert. Nachdem sie diese Lücke bereits drei Mal an Google übersendet haben, aber keine Rückmeldung bekamen, haben sie diese Lücke öffentlich gemacht und mit einer Demo-Anwendung demonstriert. Eine App, die laut Android-System keine Rechte benötigt, kann so sofort oder zu einem von euch definierten Zeitpunkt den Sperrbildschirm, beziehungsweise die Display-Sperre deaktivieren.

IMG_2061

[werbung]

Hierbei wird so zum Beispiel euer Smartphone komplett freigeschaltet, auch wenn vorher vielleicht ein Muster zum Absichern genutzt wurde. Die Stärke dieser Lücke muss natürlich diskutiert werden, denn sie ist ja nicht von Haus aus da, sondern muss erst durch die Installation einer App auf das Gerät gebracht werden – könnte aber quasi jeder böswillige Entwickler machen. Die zur Verfügung gestellte App kann auf den verlinkten Seiten des Bonner Unternehmens heruntergeladen und getestet werden. Müsst ihr aber nicht zwingend machen – ich habe es schon getan: ja, funktioniert.

Meine Meinung dazu? Android-Nutzer haben doch großes Glück, die Lücke greift nur bei Android 4.3. Zum Glück lassen sich Hersteller und Provider so lange Zeit mit den Updates – so sind erst 4.2 Prozent aller Geräte von der Lücke betroffen! 😉

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

10 Kommentare

  1. Funktioniert auch wunderbar bei Android 4.1.2, nix nur 4.3

  2. Wie sieht es denn mit KitKat aus? Oder greift die Lücke wirklich nur bei 4.3?

  3. Dann habe ich wohl mit 4.4 Glück. Frag mich nur wieso Google und Co. nur immer so schleppend bis gar nicht auf solche Hinweise reagieren. Sollte doch in deren Interesse sein. Und wieso können das relativ kleine Unternehmen herausfinden oder einzelne Entwickler aber ein Konzern wie Google mit unzähligen Entwicklern nicht? Vielleicht mal QA besser auslagern 🙂

  4. Für mich wäre es durchaus praktisch in Verbindung mit Tasker.

    Wenn ich nicht Zuhause bin wird der Sperrbildschirm aktiviert, bin ich in meinen eigenen 4 Wänden dann bleibt der Sperrbildschirm aus.

    Allerdings müsste man der App dieses Rechte manuell einräumen. Für den Zugriff auf die Notifications z.B. gibt es sowas ja schon. Die WhatsApp Erweiterung von DashClock z.B. benötigt diesen Zugriff.

  5. Tasker kann das in Verbindung mit dem Secure Settings Plugin schon lange ohne irgendwelche Lücken auszunutzen.

  6. Die Möglichkeit der Deaktivierung des Sperrbildschirms ist grundsätzlich eine gute Sache, das kann sehr nützlich sein. Ich möchte aber bestimmen können, welche Apps das dürfen.

  7. @AddiB:

    Ohne root ? Das wäre spitze aber wenn ich mir die Beschreibung von dem Plugin durchlese dann wird es wohl für diese Funktion doch Root brauchen.

  8. Für CyanogenMod-User gibt es das schon als nützliches Tool. Such mal im Play Store nach „Unlock at Home 2 (using WiFi)“.

  9. Die Lücke ist in 4.4 geschlossen :P, da funktioniert die APP nicht.

  10. also wenn ich da eine app installieren muss warum muss ich dann den Display noch entsperren. Kann ich auch gleich übers Netz alles machen. Also aus meiner Sicht kleines Risiko.