Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/12/2013
En el mes de septiembre, Google introdujo en el Android Device Manager una nueva característica que permite bloquear de forma remota el dispositivo mediante contraseña. Una función que se unió a la localización del dispositivo y de interés en caso de pérdida o robo del terminal para proteger la información personal.
La vulnerabilidad en Android 4.3 consiste en un error en “com.android.settings.ChooseLockGeneric”, la clase empleada por el sistema operativo para manejar los bloqueos de seguridad como códigos pin, reconocimiento facial o gestual.
Cuando un usuario quiere cambiar el tipo de bloqueo el sistema requiere confirmación del bloqueo anterior y aquí es donde una aplicación maliciosa instalada permite saltarse todos ellos.
Curesec ha publicado una prueba de concepto y dice que avisó del bug a Google el pasado 11 de octubre sinnque por el momento se haya parcheado la vulnerabilidad.