Sicherheitslücke in Android Jelly Bean 4.3 – Modifizierte App deaktiviert Einstellung des Sperrbildschirms

Android_Jelly_Bean_43_Lücke

Bei Microsoft nennt sich das Fixen von Sicherheitslücken Patch-Day und die Redmonder rollen mittlerweile fast wöchentlich neue Fixe für ihr Windows Betriebssystem aus. Aber auch die mobilen Betriebssysteme sind vor Sicherheitslücken keineswegs immun was zum Teil auf die zunehmende Featuritis der mobile OS zurückzuführen ist. Eine dieser Komfort Funktionen ist der Sperrbildschirm von Android der sich auf unterschiedlichste Weise mit PIN, Passwort, Mustererkennung oder eine Unterschrift vor unbefugtem Zugriff sichern lässt.

Das deutsche Sicherheitsunternehmen Curasec hat nun eine Sicherheitslücke in Android Jelly Bean 4.3 entdeckt, die es einem Angreifer mittels modifizierter App ermöglicht die Sicherheitseinstellungen des Sperrbildschirms komplett zu deaktivieren. Ihr solltet jetzt aber keinesfalls in Panik verfallen denn um die Lücke auszunutzen muss der Angreifer direkten Kontakt zu eurem Smartphone oder Tablet erhalten. Ausserdem muss auf dem Gerät eine modifizierte App installiert werden was aber nur möglich ist wenn in den Einstellungen im Menü Sicherheit das Installieren aus unbekannten Quellen aktiviert wurde. Das ist immer dann erforderlich wenn ihr Apps per USB Kabel vom PC (Sideload), von einem Cloudspeicher wie DropBox oder aus alternativen App-Shops installieren möchtet.

Android_Jelly_Bean_43_Lücke_1

In meinem Selbstversuch habe ich die von Curasec bereitgestellt App CRT-Removelocks.apk auf meinem Galaxy Note 3 mit Jelly Bean 4.3 installiert.

Android_Jelly_Bean_43_Lücke_2Nach Aufruf der App habt ihr nun 2 Möglichkeit den gesicherten Sperrbildschirm zu deaktivieren. Entweder wird der Mechanismus per „Sofortklick“ ausgeschaltet oder zu einer vorher definierten Zeit. Die Deaktivierung hat übrigens bei allen 4 oben genannten Sicherungsmethoden einwandfrei funktioniert.

Curasec hatte Google bereits im Oktober 2013 auf den Fehler hingewiesen. Ende November 2013 entschlossen sich die Sicherheitsexperten, die Sicherheitslücke öffentlich zu machen, nachdem Google auf den Bericht dazu nicht reagiert hatte. Laut Curasec ist ausschließlich Android Jelly Bean 4.3 betroffen, das anhand der letzten Monatszahlen zur Android Verteilung auf 4,2 Prozent aller Androiden ausgerollt ist. Ob und wann Google diesen Fehler fixen wird ist bis zum jetzigen Zeitpunkt unbekannt. Besitzer eines Androiden mit JB 4.3 sollten weiter aufmerksam die News verfolgen ob Google in diesem Fall tätig wird. Wie wichtig ist euch die Funktion des Sperrbildschirms und mit welcher Methode sichert ihr euch ab? Ich warte gespannt auf eure Kommentare!

Quelle:

Curasec

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s