Android-5-Bug macht Passwörter nutzlos

Android-Bug umgeht Gerätesperre: Wer auf seinem Android-Lollipop-Gerät ein Passwort zum Entsperren des Smartphones nutzt, der sollte sicherheitshalber auf die PIN- oder Muster-Eingabe wechseln. Grund hierfür ist ein Fehler (CVE-2015-3860) unter Android 5, der es erlaubt, die Passwort-Sperre zu umgehen und vollständigen Zugriff auf das System zu erhalten.

Der Fehler tritt auf, sobald eine absurd lange Zeichenabfolge in das Eingabefeld der Passwortabfrage kopiert wird, während die Kamera-App aktiv ist. Dies hat zur Folge, dass der Dienst zur Sicherung des Gerätes abstürzt. Anschließend sind sämtliche Daten und Apps auf dem Gerät frei zugänglich. Auch die Verschlüsselung des Systems bietet keinen Schutz. Der Entdecker des Fehlers hat die Vorgehensweise in zwei YouTube-Videos festgehalten.

Betroffen von dem Bug sind sämtliche Android-Lollipop-Versionen von 5.0 bis 5.1.1. Für die Nexus-Geräte von Google ist bereits ein Patch erhältlich, der den Fehler beseitigt. Der Konzern hat den Bugfix im Rahmen seiner neu eingeführten monatlichen Sicherheitsupdates ausgerollt. Bis der Patch auch von den übrigen Geräteherstellern verteilt wird, dürfte (erfahrungsgemäß) noch etwas Zeit vergehen.