Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/12/2013
Vulnerabilitat en Android 4.3 permet eliminar el bloqueig de seguretat
L’equip d’investigació alemany Curesec Research Team ha descobert una vulnerabilitat en Android 4.3 que permet llevar els bloquejos de seguretat dels terminals.
En el mes de setembre, Google va introduir en l’Android Device Manager una nova característica que permet bloquejar de forma remota el dispositiu per mitjà de contrasenya. Una funció que es va unir a la localització del dispositiu i d’interés en cas de pèrdua o robatori del terminal per a protegir la informació personal.
La vulnerabilitat en Android 4.3 consistix en un error en “com.android.settings.chooselockgeneric”, la classe emprada pel sistema operatiu per a manejar els bloquejos de seguretat com ara codis pin, reconeixement facial o gestual.
Quan un usuari vol canviar el tipus de bloqueig el sistema requerix confirmació del bloqueig anterior i ací és on una aplicació maliciosa instal·lada permet saltar-se tots ells.
Curesec ha publicat una prova de concepte i diu que va avisar de l'error a Google el passat 11 d’octubre sense que de moment s’haja posat un pegat a la vulnerabilitat.