CH azonosító
CH-12615Angol cím
Android 5.x Lockscreen BypassFelfedezés dátuma
2015.09.13.Súlyosság
KözepesÉrintett rendszerek
AndroidÉrintett verziók
Az 5.1.1-es verzió az alábbi típusokra elérhető:
Google:
NEXUS 4
NEXUS 5
NEXUS 6
NEXUS 7
NEXUS 7
NEXUS 9
NEXUS 10
Motorla:
MOTO X
HTC:
-
Samsung:
SAMSUNG GALAXY S6
SAMSUNG GALAXY S6 EDGE
SAMSUNG GALAXY NOTE EDGE
SAMSUNG GALAXY S5
LG:
LG G FLEX 2
Sony:
XPERIA Z3
Összefoglaló
Az Android sérülékenysége vált ismerté, melyet kihasználva egy támadó megkerülheti az eszköz zárolását.
Leírás
A támadó teljes hozzáférést kap az eszközhöz még akkor is, ha a titkosítás be van kapcsolva. A sérülékenységet egy hiba okozza, mely nem kezeli megfelelően a jelszó mezőbe beírt hosszú karakterláncokat mikor a kamera alkalmazás el van indítva. A hibát követően az alkalmazás összeomlik, majd az eszköz home képernyőre lép. A támadó ezek után teljes hozzáférést kap, és bármilyen adathoz hozzáférhet.
A sérülékenység kihasználásához az alábbi kritériumok szükségesek:
- A támadónak fizikai hozzáférése van az eszközhöz.
- A felhasználónak jelszavas zárolást kell választania (PIN és Minta stílusú zárolásnal a sérülékenység nem használható ki)
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az 5.1.1-es verzióra.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Hivatkozások
CVE-2015-3860 - NVD CVE-2015-3860
Gyártói referencia: code.google.com
Egyéb referencia: sites.utexas.edu
