Bug nella lock-screen su Android 5.0 Lollipop scoperto e corretto da Google

Bug nella lock-screen su Android 5.0 Lollipop scoperto e corretto da Google

Attraverso una vulnerabilità su Android 5.0 Lollipop un qualsiasi utente malintenzionato avrebbe potuto avere accesso alla Home screen di un dispositivo. Il bug, adesso pubblico, è stato corretto nei giorni scorsi da Google

di pubblicata il , alle 09:01 nel canale Telefonia
GoogleAndroid
 

Una vulnerabilità su Android 5.0 Lollipop consentirebbe a un malintenzionato di aggirare qualsiasi protezione impostata nella schermata di sblocco in maniera piuttosto semplice. Basta infatti semplicemente inserire una password lunga alcune decine di migliaia di caratteri, 160 mila nel caso sperimentato, per causare un crash nell'applicazione e garantire a chiunque l'accesso ai dati sensibili dello smartphone.

John Gordon ha spiegato nel dettaglio la vulnerabilità, la cui scoperta risale al 25 giugno e che è stata corretta da Google lo scorso 9 settembre dopo averne contrassegnato una priorità moderata. Il bug è stato reso quindi pubblico il 14 settembre, solo dopo il rilascio della build LMY48M di Android 5.1.1. Molte fonti hanno precisato che parecchi utenti potrebbero comunque essere ancora scoperti per via del ritardo con cui i produttori aggiornano i propri dispositivi. Il che è vero, ma solo in parte e per pochi casi isolati.

Per provocare il crash inatteso, Gordon ha semplicemente eseguito una chiamata d'emergenza, inserendo una sequenza di alcuni caratteri. Per velocizzare la procedura ha copiato e incollato la sequenza più volte, fino ad arrivare a circa 160 mila caratteri. Raggiunta la soglia, ha copiato l'intera stringa, aperto l'applicazione telecamera e, quando richiesta la password di sicurezza, ha incollato quanto presente negli appunti dello smartphone. In alcuni minuti il dispositivo si è riavviato autonomamente, lasciando all'utente libero accesso alla schermata Home.

Perché la procedura vada a buon fine, il dispositivo deve utilizzare il metodo di sblocco con password, quindi non con PIN o pattern. Solo nei dispositivi Nexus (o con ROM derivate dalla stock e poco modificate) è possibile incollare contenuti nel campo di testo della password, ed è quindi impossibile digitare un numero superiore di caratteri rispetto a quanti ne sono di fatto supportati. Galaxy S6, Moto G 2015 e LG G4 sembrano inviolabili da questo punto di vista, con la vulnerabilità che era presente sui Nexus, ma che è stata prontamente corretta prima di divenire pubblica.

Non ci sono quindi milioni di dispositivi Android vulnerabili in circolazione come scritto da parecchie fonti, né che ci troviamo di fronte ad una crisi sul fronte della sicurezza per il robottino verde. Semplicemente è stata trovata una vulnerabilità, ed è stata resa pubblica solo una volta che la minaccia è stata superata.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
melo8622 Settembre 2015, 09:52 #1
Non ho capito la reale diffusione.. In un punto si dice che probabilmente e' ancora presente perche' i produttori ritardano con gli aggiornamenti (aggiungendo "il che e' vero", subito sotto si dice che solo i nexus ne sono affetti, annullando quanto scritto prima..
nickmot22 Settembre 2015, 11:03 #2
Originariamente inviato da: melo86
Non ho capito la reale diffusione.. In un punto si dice che probabilmente e' ancora presente perche' i produttori ritardano con gli aggiornamenti (aggiungendo "il che e' vero", subito sotto si dice che solo i nexus ne sono affetti, annullando quanto scritto prima..


Probabilmente tutta la pletora di mediatek con ROM praticamente stock ne è affetta.
LG e Samsung no in quanto hanno il copia&incolla disattivato in quel campo di testo ed il limite di caratteri impostato.
No so Sony o altri marchi.
Kimmy22 Settembre 2015, 11:44 #3
eh già, capita tutti i giorni che qualcuno prenda in mano il nostro smartphone ed immetta una password da 160k caratteri
nickmot22 Settembre 2015, 11:48 #4
Originariamente inviato da: Kimmy
eh già, capita tutti i giorni che qualcuno prenda in mano il nostro smartphone ed immetta una password da 160k caratteri


E se lo facesse tramite un cosino attaccato alla OTG che copia al volo una bella stringona?

Diciamo che la cosa è particolarmente limitata in quanto richiede accesso fisico al device, ma in caso di furto non è così impossibile da eseguire.
Balthasar8522 Settembre 2015, 11:57 #5
7 giorni di ritardo. Un po' troppo direi.


CIAWA

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^