Android: Passwort-Schutz lässt sich durch Überforderung umgehen

In einem aktuellen Fall zeigt sich erneut, dass die dezentrale Update-Verteilung unter Googles Android-Plattform ein echtes Problem darstellt. Denn aktuell stehen zahlreiche Nutzer mit Smartphones, auf denen ein Lollipop-Android läuft, mit einem Passwort-Schutz da, der sich relativ einfach umgehen lässt. Die meisten Anwender verwenden Lockscreen-Sperrmuster, um Unbefugte davon abzuhalten, einfach auf die Informationen auf ihrem Gerät zuzugreifen. Nachdem kürzlich aber ein Bericht kursierte, dass diese in der Regel ziemlich vorhersehbar und damit überwindbar sind, dürften nicht nur besonders sicherheitsbewusste Anwender eine richtige Passwort-Abfrage auf ihrem System verwenden.

Wie der Sicherheitsforscher John Gordon von der University of Texas in Austin nun aber demonstrierte, hindert diese durch einen Programmierfehler einen Angreifer letztlich nicht daran, Zugriff auf das System zu bekommen. Wird die Passwort-Abfrage mit einer zu langen Zeichenfolge überlastet, gelangen Unbefugte so auch an die Daten, ohne von der richtigen Kennung zu wissen.


Gordon begann dafür einfach im Notrufe-Screen des gesperrten Telefons eine Zeichenfolge einzutippen. Der Einfachheit halber kopierte er die Eingabe mehrfach aneinander und nahm das Ganze dann in der Zwischenablage mit. Anschließend griff er auf die stets verfügbare Kamera-App zu und hangelte sich hier dann über den Notification-Bereich zu den Einstellungen durch. Hier fragt das System dann nach dem Passwort, wohin die lange Zeichenfolge kopiert und nicht einmal verlängert wurde.

Nur Geduld

Zurück in der Kamera hieß es nun warten und über die Hardware-Buttons einige Bilder aufzunehmen. Nach einiger Zeit verschwinden zuerst die Softbuttons vom Bildschirm - das erste Anzeichen für die beginnenden Abstürze von Prozessen. Kurz darauf crasht auch die Kamera-App. Während sich das System nun von der Überforderung erholt, wird der Nutzer auf den nun entsperrten Homescreen umgeleitet und kann auf alle gespeicherten Informationen zugreifen und diese bei Bedarf auch über eine USB-Verbindung vom Gerät holen.

Gordon hat Google bereits im Juni über das Problem informiert und veröffentlichte nun nach der üblichen Zeitspanne von drei Monaten die Informationen zu der Sicherheitslücke. Das Sicherheits-Team von Android hat auch schon reagiert und einen Patch veröffentlicht, der allerdings im Grunde weitgehend nur bei Nutzern installiert ist, die ein Nexus-Gerät haben und dieses auf dem neuesten Stand halten. All jene Anwender, die über ihren Geräte-Hersteller versorgt werden, können so bis auf weiteres nicht mehr darauf vertrauen, dass das Passwort einen Dieb davon abhält, beliebig auf das System zuzugreifen. Google, Android, Lollipop, Android 5.0 Google