Vergrendelscherm van Android 5 blijkt te omzeilen
Gebruikers kunnen hun smartphone in Android 5.0 beveiligen met een wachtwoord, wat veiliger zou moeten zijn dan het gebruik van een ontgrendelpatroon of een pincode. Door een zeer lang wachtwoord in te voeren blijkt het echter mogelijk het vergrendelscherm te laten crashen, waarna een aanvaller toegang krijgt tot onder andere de instellingen en via USB debugging data kan bemachtigen. De kwetsbaarheid is aanwezig in Android 5.0 tot en met 5.1.1 (tot build LMY48M)
Dit maken onderzoekers van de Amerikaanse University of Texas bekend. Een aanvaller opent het scherm voor noodoproepen en vult hier willekeurige combinatie in van bijvoorbeeld 10 cijfers. Deze combinatie wordt gekopieerd, waardoor een langere combinatie ontstaat. Vervolgens selecteert de aanvaller deze langere combinatie en kopieert de combinatie opnieuw. Dit proces wordt herhaald de aanvaller tot de combinatie dusdanig lang is geworden dat deze niet meer in zijn geheel kan worden geselecteerd.
Wachtwoord invoeren
Vervolgens opent de aanvaller de camera op het Android apparaat, en probeert vervolgens via het notificatiescherm dat vanaf de bovenzijde van het scherm omlaag kan worden getrokken de instellingen te openen. Android vraagt hierdoor om een wachtwoord, waarna de gebruiker de lange combinatie van cijfers net zo lang in het scherm blijft plakken totdat de gebruikersinterface crasht. De knoppen op het scherm verdwijnen hierdoor, waardoor de camera schermvullend wordt vertoond.
Hierna hoeft de aanvaller alleen nog te wachten tot de camera app crasht. Hoelang dit precies duurt verschilt per apparaat, maar neemt in de demonstratie die de onderzoekers op YouTube hebben gepubliceerd minutenlang in beslag. Zodra de camera-app is gecrasht wordt het thuisscherm van de Android smartphone geladen. In sommige gevallen gaat het om het volledige thuisscherm, terwijl dit in andere gevallen slechts gedeeltelijk wordt geladen.
USB debugging
Aanvallers hebben overigens niet direct toegang tot data op het apparaat, maar kunnen wel bij de instellingen van de smartphone. Dit maakt het mogelijk USB debugging aan te zetten, waardoor het apparaat via USB aan een computer kan worden gehangen en via de Android Debug tool kan worden benaderd. Dit maakt het mogelijk data van de smartphone te halen.
In de onderstaande video demonstreren de onderzoekers de hack.
Meer over
Lees ook
Onderzoeker kan verkeerslichten zelf bedienen en verkeerschaos creëren
In de film Die Hard 4, ook bekend als Live Free or Die Hard, is te zien hoe een groep 'terroristische hackers' verkeerslichten kan manipuleren door het systeem hierachter te hacken. Beveiligingsonderzoeker Cesar Cerrudo van IOActive werd hier dusdanig door geïnspireerd dat hij op zoek ging naar een manier om dit in het echte leven te doen. En met1
Hackers kraken IT-systemen Dexia bank en sluizen geld weg
Hackers blijken erin te zijn geslaagd de IT-systemen van de Belgische Dexia bank binnen te dringen. Dit stelde hen in staat frauduleuze transacties uit te voeren, waardoor Dexia 1,2 miljoen euro schade liep. De hack bleef ruim een jaar onopgemerkt. Door de systemen te kraken kregen de hackers inzicht in allerlei gevoelige informatie, waaronder geg1
Hackers kraken control panel van pinautomaten om pinautomaten te kunnen legen
Fraude met pinautomaten is niet nieuw. Criminelen skimmen gebruikers of proberen pinautomaten te hacken. Pinautomaten blijken echter een stuk kwetsbaarder dan tot nu toe werd gedacht. Door de back-end van pinautomaten te hacken kunnen cybercriminelen in een korte tijd een groot aantal pinautomaten leegtrekken, met grote financiële schade tot gevol1