17. 9. 2015 18:50

Charakteristika zranitelnosti

Chyba byla zjištěna v zabezpečení mobilních zařízení s operačním systémem Android 5.0 do verze 5.1.1 (sestavení před LMY48M), která umožňuje útočníkovi s fyzickým přístupem k zařízení obejít službu LockScreen (uzamčení obrazovky). Pokud se do přístupného pole pro tísňové volání zadá extrémně dlouhý řetězec, který se uloží do schránky a vzápětí se tento řetězec použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Po ní dojde k zobrazení domovské stránky zařízení, která již není uzamčena.

Postižené systémy

Operační systém Android 5.0 a 5.1.

Dopad zranitelnosti

Zranitelnost umožňuje útočníkovi získat přístup ke všem datům a aplikacím v mobilním zařízení.

Řešení

Doporučuje se upgradovat na verzi Android 5.1.1 (sestavení LMY48M), ve které je již zranitelnost opravena.

CVE

CVE-2015-3860

Odkazy

http://www.kyberbezpecnost.cz/?p=4894
http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/
http://www.theguardian.com/technology/2015/sep/16/android-lockscreen-password
http://arstechnica.com/security/2015/09/new-android-lockscreen-hack-gives-attackers-full-access-to-locked-devices/