Android 5 发现安全漏洞,不需密码就能绕过锁定画面
http://tinyurl.com/p55ltyj
根据美国德州大学(University of Texas at Austin)资讯安全办公室(Information Security Office)所公布的资料指出,Android作业系统5.0以上的版本存在着能够绕过锁定画面的安全性漏洞,攻击者可以利用特殊的手法,在不输入解锁 密码的前提下,直接绕过锁定画面并操作手机,让被害者的手机资料受到威胁。
手机密码类型多
无论是采用Android或是iOS的智慧型手机与平板电脑,都会具备密码保护功能,让装置的使用者可以自行建立密码,并将手机的操作权限与内部资料锁定、加密。基本上密码的第一关就是锁定画面,当手机从待机中唤醒时,系统就会要求使用者输入密码,否则就无法操作手机,另一方面,大多数手机也能锁定各别App的使用权限,以及将通讯录、照片、文件等资料加密,提高资讯安全性。
使用字串做为密码是最基本的方式,而Android作业系统也常用图形锁(Pattern Lock)进行加密,其基本架构为九宫格布局的9个圆点,使用者可以透过特定型式划过4至9个圆点做为密码,而iOS作业系统则因主流装置都具有指纹扫瞄仪,因此不少使用者以指纹作为解锁的通行证。
并非破解,是直接绕过
无论是密码、图形锁还是指纹做为解锁的钥匙,要直接破解都不是那么容易,而且多数手机系统都有在多次尝试密码失败,就会限制一段时间无法再试的机制(比如失败3次之后,需等10分钟才能再试),增加了破解的耗费时间与困难度。
不过美国德州大学资讯安全办公室就公布了新的破解手法,能让攻击者在不知道Android装置密码的情况下,绕过锁定画面直接操作手机。这个破解手法适用于Android 5.0与5.1等版本,攻击方式如下:
1. 在装置的锁定画面中开启紧急拨号(Emergency Dialer)功能,并随意输入数字或符号,并用复制贴上的方式填满字段。
2. 复制最终的长串字串
3. 在锁定萤幕中启用相机App。
4. 拉下通知中心,点选设定图示,这时候会要求输入密码。
5. 将先前复制的字串不断贴上至密码字段,直到系统当机并重回相机App。
6. 回到相机App后,等到相机当机,就能绕过锁定,进入系统主画面。
Google已经针对这个安全性漏洞,释出了Nexus系列装置的OTA更新档,使用者在接受到通知后最好能够马上更新。至于其他Android装置的使用者,可能还需要等待各厂商释出更新档,这段期间要小心手机不要被有心人士以此方式绕过安全锁定。