Ak sa na našom webe zaoberáme bezpečnosťou telefónov, takmer vždy vám poradíme používať uzamykací ochranný prvok. Môže tým byť vzor, ale aj klasický bezpečnostný kód či heslo. Ako sa ale teraz ukázalo, heslo nemusí byť vôbec dokonalou ochranou. Výskumníci na univerzite v Texase zistili, že systém Android Lollipop obsahoval v starších verziách bezpečnostnú chybu, vďaka ktorej bolo možné dostať sa do zariadenia aj napriek tomu, že mal majiteľ aktivované bezpečnostné heslo na uzamknutej obrazovke.
Podmienkou pre získanie kontroly nad zariadením je ale fakt, že užívateľ musí mať nastavené práve heslo. Klasický PIN kód a ani bezpečnostný vzor touto chybou zrejme netrpia. Princípom chyby je vytvorenie extrémne dlhého reťazca znakov. Ten vytvorí útočník tak, že z uzamknutej obrazovky zvolí možnosť Núdzové volanie. Tu začne kopírovať znaky tak, aby vytvoril extrémne dlhý reťazec. Začne napísaním napríklad 10 znakov. Dvojitým poklepaním ich všetky označí a zvolí možnosť skopírovať. Kópiu reťazca vloží na koniec riadku a znovu označí všetky znaky a skopíruje ich dvojitým poklepaním. Takto je potrebné pokračovať, až kým sa po dvojitom poklepaní nevyznačí celý reťazec. To by sa malo stať približne po jedenástom pokuse.
Následne je potrebné vrátiť sa na uzamykaciu obrazovku a otvoriť aplikáciu fotoaparátu. Tu po stiahnutí notifikačnej lišty klikne útočník na ikonu nastavení. Následne bude vyzvaný na zadanie hesla. Sem začne vkladať reťazec, ktorý je uložený v schránke. Vkladá ho dovtedy, kým nenastane pád užívateľského prostredia a nezmiznú navigačné tlačidlá zo spodnej lišty. Následne už iba počká, kým aplikácia fotoaparátu nespadne tiež. Potom už bude prenesený na domovskú obrazovku zariadenia bez nutnosti zadať bezpečnostné heslo.
Hoci ide o proces, ktorý trvá niekoľko minút, je skutočne efektívny. Chyba by sa mala nachádzať na zariadeniach so systémom Android 5.0 – 5.1.1. Opravila ju až aktualizácia s verziou systému LMY48M. Teoreticky by sa mala chyba nachádzať na všetkých zariadeniach s týmto systémom, no je možné, že nadstavby výrobcov na niektorých zariadeniach mohli túto chybu odstrániť. Na videu je útok demonštrovaný na zariadení Nexus 4 a je možné, že chyba je očividná najmä na zariadeniach Nexus. Ak máte na svojom zariadení verziu systému, ktorá by mohla byť zraniteľná, pre istotu radšej skontrolujte, či nemáte k dispozícii aktualizáciu, ktorá by túto chybu odstránila.
