Android: Passwort-Schutz lässt sich durch Überforderung umgehen
In einem aktuellen Fall zeigt sich erneut, dass die dezentrale Update-Verteilung unter Googles Android-Plattform ein echtes Problem darstellt. Denn aktuell stehen zahlreiche Nutzer mit Smartphones, auf denen ein Lollipop-Android läuft, mit einem Passwort-Schutz da, der sich relativ einfach umgehen lässt.
Die meisten Anwender verwenden Lockscreen-Sperrmuster, um Unbefugte davon abzuhalten, einfach auf die Informationen auf ihrem Gerät zuzugreifen. Nachdem kürzlich aber ein Bericht kursierte, dass diese in der Regel ziemlich vorhersehbar und damit überwindbar sind, dürften nicht nur besonders sicherheitsbewusste Anwender eine richtige Passwort-Abfrage auf ihrem System verwenden.
Wie der Sicherheitsforscher John Gordon von der University of Texas in Austin nun aber demonstrierte, hindert diese durch einen Programmierfehler einen Angreifer letztlich nicht daran, Zugriff auf das System zu bekommen. Wird die Passwort-Abfrage mit einer zu langen Zeichenfolge überlastet, gelangen Unbefugte so auch an die Daten, ohne von der richtigen Kennung zu wissen.
Gordon begann dafür einfach im Notrufe-Screen des gesperrten Telefons eine Zeichenfolge einzutippen. Der Einfachheit halber kopierte er die Eingabe mehrfach aneinander und nahm das Ganze dann in der Zwischenablage mit. Anschließend griff er auf die stets verfügbare Kamera-App zu und hangelte sich hier dann über den Notification-Bereich zu den Einstellungen durch. Hier fragt das System dann nach dem Passwort, wohin die lange Zeichenfolge kopiert und nicht einmal verlängert wurde.
Gordon hat Google bereits im Juni über das Problem informiert und veröffentlichte nun nach der üblichen Zeitspanne von drei Monaten die Informationen zu der Sicherheitslücke. Das Sicherheits-Team von Android hat auch schon reagiert und einen Patch veröffentlicht, der allerdings im Grunde weitgehend nur bei Nutzern installiert ist, die ein Nexus-Gerät haben und dieses auf dem neuesten Stand halten. All jene Anwender, die über ihren Geräte-Hersteller versorgt werden, können so bis auf weiteres nicht mehr darauf vertrauen, dass das Passwort einen Dieb davon abhält, beliebig auf das System zuzugreifen.
Wie der Sicherheitsforscher John Gordon von der University of Texas in Austin nun aber demonstrierte, hindert diese durch einen Programmierfehler einen Angreifer letztlich nicht daran, Zugriff auf das System zu bekommen. Wird die Passwort-Abfrage mit einer zu langen Zeichenfolge überlastet, gelangen Unbefugte so auch an die Daten, ohne von der richtigen Kennung zu wissen.
Gordon begann dafür einfach im Notrufe-Screen des gesperrten Telefons eine Zeichenfolge einzutippen. Der Einfachheit halber kopierte er die Eingabe mehrfach aneinander und nahm das Ganze dann in der Zwischenablage mit. Anschließend griff er auf die stets verfügbare Kamera-App zu und hangelte sich hier dann über den Notification-Bereich zu den Einstellungen durch. Hier fragt das System dann nach dem Passwort, wohin die lange Zeichenfolge kopiert und nicht einmal verlängert wurde.
Nur Geduld
Zurück in der Kamera hieß es nun warten und über die Hardware-Buttons einige Bilder aufzunehmen. Nach einiger Zeit verschwinden zuerst die Softbuttons vom Bildschirm - das erste Anzeichen für die beginnenden Abstürze von Prozessen. Kurz darauf crasht auch die Kamera-App. Während sich das System nun von der Überforderung erholt, wird der Nutzer auf den nun entsperrten Homescreen umgeleitet und kann auf alle gespeicherten Informationen zugreifen und diese bei Bedarf auch über eine USB-Verbindung vom Gerät holen.Gordon hat Google bereits im Juni über das Problem informiert und veröffentlichte nun nach der üblichen Zeitspanne von drei Monaten die Informationen zu der Sicherheitslücke. Das Sicherheits-Team von Android hat auch schon reagiert und einen Patch veröffentlicht, der allerdings im Grunde weitgehend nur bei Nutzern installiert ist, die ein Nexus-Gerät haben und dieses auf dem neuesten Stand halten. All jene Anwender, die über ihren Geräte-Hersteller versorgt werden, können so bis auf weiteres nicht mehr darauf vertrauen, dass das Passwort einen Dieb davon abhält, beliebig auf das System zuzugreifen.
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
-
MagicPad 4: Honors Versuch zum Tablet-Gipfelsturm im Test
-
Erstaunliche Vielfalt: Die besten Tablets für unter 300 Euro
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Android-Auto-Bug: Google Maps wechselt nicht mehr in den Nachtmodus
- Xbox-Exlusivität von Spielen wird "von Fall zu Fall" entschieden
- Letzte Chance: PlayStation 5 und PS5 Pro bei Media Markt reduziert
- Microsoft lenkt ein: Windows-11-Suche bald ohne Bing-Spam nutzbar
- Chrome: Endgültiges Aus für uBlock Origin - Google schließt letzte Lücke
- Fernsehen für 4,99 Euro: Das sind die neuen Waipu.tv WM-Angebote
- KI verbieten? Nicht in Estland, das schenkt Tausenden Schülern ChatGPT
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen