News

Hacker umgeht Android Sperrbildschirm – Google zahlt 70.000$ Belohnung

Der Sicherheitsforscher David Schütz hat eine schwerwiegende Lücke in Googles Smartphone-Betriebssystem Android gefunden. Diese erlaubt es Angreifern den Sperrbildschirm von Pixel-Smartphones trotz aktuellstem Patch vollständig zu umgehen. Google hat dazu bereits Kenntnis genommen und angekündigt, im kommenden Sicherheitspatch für November diese kritische Sicherheitslücke zu beheben. Es ist jedoch wahrscheinlich, dass noch weitere Smartphones mit Android betroffen sind. Die Lücke macht deutlich, dass es durchaus wichtig ist, immer die aktuellsten Updates zu installieren.

Entdeckung und Funktionsweise

Das Ausnutzen der Lücke, welche Zugriff auf alle Inhalte des Geräts gewährt, ist sehr einfach und kann von jedem bewerkstelligt werden. Hierzu muss der Angreifer lediglich das Smartphone in den Händen halten und die SIM-Karte wechseln. Beim Wechsel wird er dazu aufgefordert, die PIN der neu eingelegten SIM-Karte einzugeben. Diese muss nun dreimal falsch eingegeben werden. Anschließend verlangt Android nach der Sim-PUK. Wird diese dann korrekt eingegeben, entsperrt sich das Gerät.

Die Sicherheitslücke betrifft die Android-Versionen 10, 11, 12 & 13 und wird durch den 07. November-Sicherheitspatch geschlossen.
Zurückzuführen ist die Lücke auf die Umgangsweise mit Sicherheitsebenen durch Android selbst. Dadurch wird der nächste Sicherheitsbildschirm im Stack, nämlich der Schlüsselwächter, gefolgt von dem Bildschirm, der sich als nächstes in der Warteschlange befindet, verworfen.

Gekennzeichnet wurde die Sicherheitslücke mit der eindeutigen CVE-ID: CVE-2022-20465. Bei der CVE-Bezeichnung handelt es sich um eine international anerkannte Bezeichnung für Sicherheitslücken und kritische IT-Infrastruktur-Fehlern mit großer Relevanz. Hierbei steht die erste Zahl für das Jahr und die letzte dient als eindeutige Zuordnung.
Der CVSS-Score gibt die Schwere der Sicherheitslücke an, hier kann ein Maximalwert von zehn erreicht werden.

Gefunden hat David Schütz die Lücke zufällig, als sich sein Pixel-Smartphone wegen mangelnder Akkukapazität ausschaltete. Da er die PIN nicht mehr wusste, griff er auf die PUK zurück, wodurch ihm die Lücke auffiel. Im Rahmen von Googles Bug Bounty Programm hat er den Fund gemeldet und bekam eine Belohnung von 70.000$ ausgezahlt.

Was kann ich tun?

Google hat bereits den 07. November-Sicherheitspatch für alle noch unterstützen Pixel-Smartphones veröffentlicht. Jedoch haben noch nicht alle Nutzer den Patch angeboten bekommen, da auch dieser in Wellen verteilt wird. Auch sollten Nutzer von Samsung, Oppo, Xiaomi und Co. regelmäßig nach Updates prüfen, da diese die Patches oft erst nach den hauseigenen Smartphones von Google erhalten. Ihr solltet also prüfen, ob euer Handy auf den neusten Stand ist und alle ausstehenden Updates dringlichst installieren.

About author

Ich bin Pascal alias. PaMaBa1806. Von Beruf bin ich Fachinformatiker für IT-Security, Moderator und Autor bei WindowsArea.de. Meine Leidenschaft ist es, mein Wissen weiterzugeben und zu teilen.
Related posts
News

Microsoft Edge führt kostenpflichtige Adobe Acrobat PDF-Funktionen ein

News

Snipping Tool mit Texterkennung: Microsofts Screenshot-Tool wird endlich smart

News

Windows unterwegs - so verändert das richtige Setup das mobile Arbeiten

News

WinRE-Update verursacht erneut Fehler 0x80070643 – Microsoft empfiehlt "nichts tun"

Schreibe einen Kommentar