Het Android-besturingssysteem beschikt over diverse beveiligingsmechanismen zoals een pincode, wachtwoord of ontgrendelpatroon en gezichtsherkenning om een apparaat te vergrendelen of te ontgrendelen. Om deze instellingen te veranderen, vraagt het apparaat opnieuw om de gebruikte beveiligingsmethode te gebruiken als verificatie.
Het Duitse beveiligingsbedrijf Curesec Team heeft een bug ontdekt in Android 4.3 die het mogelijk voor apps om die beveiliging te omzeilen, om de vergrendeling op te heffen zonder het juiste wachtwoord.
Het CRT team beschrijft in hun blog dat de bug zich bevindt in de "com.android.settings.ChooseLockGeneric class" en dat zij een app hebben gemaakt die het gebruik van de bug demonstreert.
De app is via hun blog te downloaden.
De bug is door het team in oktober al gemeld bij Google, echter is niet bekend of deze al actie heeft ondernomen om de kwetsbaarheid op te lossen. In de nieuwste versie van Android, 4.4 Kitkat, is de kwetsbaarheid niet meer aanwezig.
Uitgebreid informatie over de kwetsbaarheid kun je lezen op Cureblog.de
Geschreven door Marco Korthout @ 4 dec. 2013 5:12
