Individuata e testata su terminali Nexus, per cui Google ha già distribuito una patch
La falla consente di accedere a un terminale bloccato con qualche copia-incolla.
Basta solo una buona dose di pazienza per accedere a un dispositivo Android che monti Android 5, bloccato dal codice che dovrebbe assicurare il telefono da malintenzionati o renderlo inutilizzabile a seguito di un furto. A dimostrarlo, i ricercatori della University of Texas, che con un video illustrano quanto sia semplice abusare di un bug che interessa parte dei dispositivi Android sul mercato.
La vulnerabilità, classificata da Google di gravità moderata, consente il pieno accesso al terminale bloccato ma può essere sfruttata nel limitati casi in cui si possa stringere in mano un dispositivo altrui che monti una versione del sistema operativo che consenta di eseguire le operazioni necessarie.
A dispositivo bloccato da lockscreen (ma non da PIN o da altre soluzioni di identificazione), è sufficiente accedere alle chiamate di emergenza e iniziare a digitare un codice numerico qualsiasi, di almeno 10 cifre: la stringa dovrà essere di volta in volta copiata e incollata (i ricercatori suggeriscono sia necessario ripetere l’operazione almeno 11 volte), così da ottenere una serie di numeri abbastanza lunga da impedire ulteriori operazioni di copiaincolla. Non tutte le versioni di Android, soprattutto se equipaggiate con un dialer proprietario, permettono di copiare la stringa numerica.
Se è stato possibile copiare la lunga stringa, si ritorna alla home del dispositivo, e la si sblocca per accedere alla fotocamera, che non richiede l’inserimento di alcun codice. L’exploit appare sfruttabile solo per i terminali che consentano, a fotocamera attivata, di accedere al menù quick toggle, anche in questo caso una funzione limitata a pochi dispositivi come i Nexus adottati dai ricercatori. Per accedere alle impostazioni, il dispositivo richiede l’inserimento della password: incollando quante più volte possibile la stringa composta e copiata attraverso la tastiera delle chiamate di emergenza, il terminale è sempre meno reattivo, fino al crash dell’interfaccia utente e al ritorno alla fotocamera. Basta attendere un tempo variabile per assistere anche al crash dell’applicazione della fotocamera, che restituisce pieno accesso al terminale sbloccato.
La falla, spiega lo scopritore John Gordon, è stata individuata smanettando su un terminale Nexus, e solo su terminali Nexus è stata testata. Google ha appena corretto la vulnerabilità con il primo degli update mensili per i dispositivi Nexus, ma, fra le varie versioni custom di Android, non sono stati ancora censiti i dispositivi che presentino le condizioni per risultare vulnerabili.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui