Android-5-Bug macht Passwörter nutzlos

Android-Bug umgeht Gerätesperre: Wer auf seinem Android-Lollipop-Gerät ein Passwort zum Entsperren des Smartphones nutzt, sollte sicherheitshalber auf die PIN- oder Muster-Eingabe wechseln. Grund hierfür ist ein Fehler (CVE-2015-3860) unter Android 5.0, der es erlaubt, die Passwortsperre zu umgehen und vollständigen Zugriff auf das System zu erhalten.

Der Fehler tritt auf, sobald eine absurd lange Zeichenabfolge in das Eingabefeld der Passwortabfrage kopiert wird, während die Kamera-App aktiv ist. Dies hat zur Folge, dass der Dienst zur Sicherung des Geräts abstürzt. Anschliessend sind sämtliche Daten und Apps auf dem Gerät frei zugänglich. Auch die Verschlüsselung des Systems bietet keinen Schutz. Der Entdecker des Fehlers hat die Vorgehensweise in zwei YouTube-Videos festgehalten.

Betroffen vom Bug sind sämtliche Android-Lollipop-Versionen von 5.0 bis 5.1.1. Für die Nexus-Geräte von Google ist bereits ein Patch erhältlich, der den Fehler beseitigt. Der Konzern hat den Bugfix im Rahmen seiner neu eingeführten monatlichen Sicherheits-Updates ausgerollt. Bis der Patch auch von den übrigen Geräteherstellern verteilt wird, dürfte (erfahrungsgemäss) noch etwas Zeit vergehen.

Man muss sich jedoch im Klaren darüber sein, dass zur Ausnutzung der Schwachstelle ein physischer Gerätezugriff nötig ist. Es besteht also kein Grund zur Panik. Die denkbar naheliegenste Schutzmethode besteht darin, via Einstellungen/Displaysperre sicherzustellen, dass anstelle der löchrigen Passwortbildschirmsperre die PIN-Sperre zum Einsatz kommt. Alternativ kann man sich auch eines Sperrmusters behelfen, sofern man nicht auf allzu leicht zu erratende Durchschnittsmuster setzt.