 Eksperci z Curesec znaleźli lukę w systemie Android Jelly Bean 4.3 pozwalającą cyberprzestępcom usunięcie wszelkich blokad w telefonie takich jak kod PIN, hasła, gesty czy rozpoznawanie twarzy.
Zdaniem ekspertów luka w zabezpieczeniach może zostać wykorzystana przy pomocy spreparowanych aplikacji. Curesec twierdzi, że od przedstawienie swojego odkrycia Security Team Android przestał odpowiadać na ich zapytania odnośnie luki.
Bug powoduje klasa com.android.settings.ChooseLockGeneric, która służy do zmiany rodzaju mechanizmu blokującego urządzenie. Klasa zawiera fragment kodu, który wymaga od użytkownika przejście poprzedniej weryfikacji w celu zmiany ustawień. Przykładowo, jeżeli użytkownik zmienia PIN musi on wprowadzić stary PIN.
Zidentyfikowana przez ekspertów luka może być wykorzystana do kontroli nawet, gdy mechanizm potwierdzenia zmiany jest wyłączony.
Problem został zgłoszony do Google 11 października 2013 roku, po wstępnej odpowiedzi, którą firma otrzymała na drugi dzień Google przestało odpowiadać na e-maile Curesec.
Curesec nawet wpuścił aplikację przedstawiającą znalezioną lukę bezpieczeństwa. Aplikacja może usunąć blokadę natychmiastowo lub w określonym przez użytkownika czasie.
Firma sądzi, że problem dotyczy tylko Androida Jelly Bean 4.3 Jednakże liczba urządzeń posiadających zainstalowany system Android 4.3 wynosi ponad połowę ogólnej liczby urządzeń z Androidem.
Źródło: softpedia.com |
