Android: Cyanogenmod-Betriebssystem zeichnet Entsperrmuster auf
Sicherheitslücke bei Cyanogenmod entdeckt (Bild: Cyanogenmod)

Android Cyanogenmod-Betriebssystem zeichnet Entsperrmuster auf

Ein Programmierer des Android-Betriebssystems Cyanogenmod hat eine Sicherheitslücke im Quellcode des Systems bemerkt. Nach einem kürzlich erfolgten Update wird das individuelle Entsperrmuster des Sperrbildschirms aufgezeichnet und auf dem Gerät gespeichert.

Anzeige

Gabriel Castro vom Cyanogenmod-Team hat im Quelltext des alternativen Betriebssystems für Android-Geräte eine Zeile Code entdeckt, die offenbar das Entsperrmuster des Sperrbildschirms von Android aufzeichnet. Erst im August wurde dessen Funktion mit einem Update erweitert.

Die Größe des Feldes wurde mit dem Update von 3 x 3 Punkten auf maximal 6 x 6 Punkte vergrößert, was komplexere Entsperrmuster möglich macht. Dabei wurde in die neue Passage im Quelltext auch eine Zeile eingebaut, die das Muster über die Anwendung logcat protokolliert.

  • Im Quelltext der Aktualisierung wurde scheinbar der Log-Befehl vergessen.
  • Im August hat das Team von Cyanogenmod den Entsperrbildschirm von Android auf maximal 6 x 6 Punkte erweitert. (Screenshots: Golem.de)
  • Normalerweise kann man das Entsperrmuster nur über 3 x 3 Punkte verteilen.
  • Der neue Bildschirm ermöglicht weitaus komplexere Muster.
Im August hat das Team von Cyanogenmod den Entsperrbildschirm von Android auf maximal 6 x 6 Punkte erweitert. (Screenshots: Golem.de)

Sicherheitslücke wurde beseitigt

"Ich bin wirklich überrascht, dass das niemandem aufgefallen ist", schreibt Castro im Kommentar zu dem von ihm jetzt durchgeführten Patch. Castro schlug vor, die betreffende Zeile einfach aus dem Code von Cyanogenmod zu entfernen.

Weitere Programmierer der Gruppe stimmten Castro in seiner Einschätzung zu und unterstützten die Entfernung der Zeile. "Ja, das sollte auf jeden Fall ausgebessert werden", schreibt beispielsweise Björn Lundén in den Kommentaren zu Castros Patch. Mittlerweile wurde Castros Änderungsvorschlag angenommen.

Hintergrund des Problems womöglich ein Versehen

Die Umsetzung des Log-Befehls in der veröffentlichten Version scheint eher auf einem Zufall als auf Absicht zu beruhen. Die Formulierung "log.v" im Quellcode weist auf den Verbose-Modus hin, mit dem interne Vorgänge eines Programmcodes detailliert protokolliert werden können. Dadurch werden beispielsweise neu hinzugefügte Programmteile auf Fehler überprüft.

Die log.v-Zeile könnte also einfach dazu gedient haben, die Funktion des erweiterten Sperrbildschirms zu überprüfen. Offenbar wurde die betreffende Zeile der Testversion anschließend übersehen, als sie zur finalen Version umgebaut wurde.

Die Programmierer von Cyanogenmod kompilieren für eine Vielzahl von Android-Geräten alternative Versionen des Android-Betriebssystems. Erst vor kurzem wurden die neuen Funktionen von Android 4.1.2 in die Nightly Builds von CM10 eingebaut.


Trockenobst 24. Okt 2012

Der "richtige" Weg beim Java ist das Linken mit einer Dummy-Library, die beim Aufruf von...

Trockenobst 24. Okt 2012

Ich habe mir nach dem Entsperren angewöhnt einmal mit zwei Fingern quer über das Display...

Kommentieren



Anzeige

  1. Produktmanager für digitales Entertainment / Product Owner (m/w)
    Media-Saturn Deutschland GmbH, Ingolstadt
  2. Systemadministrator (m/w) Windows
    KDO Personaldienste, Oldenburg
  3. Manager (m/w) Softwareentwicklung
    WTS Group AG Steuerberatungsgesellschaft, Erlangen (Raum Nürnberg)
  4. Projektleiter Software Standardisierung (m/w) Schwerpunkt Fördertechnik
    Dürr Systems GmbH, Bietigheim-Bissingen

 

Detailsuche


Folgen Sie uns
       


  1. Software Development Kit

    Linux-Support und geringere Latenz für Oculus Rift

  2. Big Brother Awards

    Österreich prämiert die EU Kommission und Facebook

  3. iFixit

    Touch-ID-Sensor im iPad mini 3 mit Klebstoff befestigt

  4. Illegales Streaming

    Razzien gegen Betreiber von Kinox.to

  5. Android 4.4.2

    Kitkat-Update für Motorola Razr HD wird verteilt

  6. Galaxy Note 4

    4,5 Millionen verkaufte Geräte in einem Monat

  7. Archos 50 Diamond

    LTE-Smartphone mit Full-HD-Display für 200 Euro

  8. Test Dreamfall Chapters Book One

    Neue Episode von The Longest Journey

  9. iPad Air 2 im Test

    Toll, aber kein Muss

  10. Nocomentator

    Filterkiste blendet Sportkommentare aus



Haben wir etwas übersehen?

E-Mail an news@golem.de



Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

Hoverboard: Schweben wie Marty McFly
Hoverboard
Schweben wie Marty McFly
  1. Design-Fahrzeuge U-Bahnen in London sollen autonom fahren
  2. Fahrassistenzsystem Volvos virtueller Lkw-Beifahrer soll Unfälle verhindern
  3. Computergrafik US-Forscher modellieren Gesichter in Videos dreidimensional

Merkel auf IT-Gipfel: Netzneutralität wird erst im Glasfasernetz wichtig
Merkel auf IT-Gipfel
Netzneutralität wird erst im Glasfasernetz wichtig
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

    •  / 
    Zum Artikel