חוקרים מהאוניברסיטה הציבורית של טקסס חשפו אתמול (ד') כי באג באנדרואיד 5, גירסת מערכת ההפעלה של גוגל הנפוצה במכשירים עכשוויים, מאפשרת לעקוף את מסך הנעילה אם המשתמש בחר בשיטת ההגנה המומלצת: סיסמה.
מכיוון שמומלץ להשתמש בסיסמאות ארוכות כמה שיותר, שדה הקלדת הסיסמה במסך הנעילה של אנדרואיד אינו מגביל את מספר התווים שניתן להזין לתוכו. כך, לפי החוקרים, ניתן לגרום לו לעומס יתר, אם רק מקדישים את הזמן הדרוש להזנת סיסמה ארוכה מספיק.
מעמיסים על מנגנון הסיסמה
בסרטון הדגמה שעלה לרשת מודגם התהליך, שאינו דורש מיומנות טכנית אלא רק זמן: כדי לקצר את זמן הזנת הסיסמה, בוחרים תחילה ממסך הנעילה את האפשרות לבצע שיחת חירום. מקלידים מספר אקראי ואז מתחילים לשכפל אותו על ידי בחירה, העתקה והדבקה. בסרטון מועתקת התוצאה בכל פעם, כדי להעלות במהירות גבוהה יותר את אורך ה"סיסמה" שנוצרת. לאחר יצירת קוד ארוך שגורם לאיטיות, חוזרים למסך הנעילה ומפעילים את המצלמה.
מתוך מסך המצלמה מנסים לפתוח את וילון ההתראות וממנו את אפליקציית ההגדרות. מסך הנעילה ידרוש להזין את הסיסמה כדי לפתוח את המכשיר ואז ניתן להתחיל להדביק שוב ושוב את הקוד הארוך שנוצר מראש - עד שאפליקציית הנעילה קורסת, סוגרת גם את אפליקציית המצלמה ומעבירה את הפורץ למסך הבית של המכשיר.
תוקן לחלק מהמכשירים
הבאג אמנם נחשף לאחר שדווח לגוגל, ששחררה בשבת עדכון אבטחה שמטפל בו, לפי דיווחים. אך העדכון זמין ראשית למכשירי נקסוס בלבד ולא ברור מתי יגיע למכשירים של חברות חיצוניות. כל אחת מהיצרניות הללו צריכה לשלוח ללקוחות שלה עדכונים בנפרד למגוון המכשירים שלהן.
בשביל לבדוק איזו גירסה יש לכם, לכו להגדרות-אודות- ושם בחלק מהתפריטים יש פרטי תוכנה. שם רואים את מספר ה-Build. העדכני ביותר אמור להיות LMY48M. אם המספר נמוך יותר, עדיין לא קיבלתם את העדכון.