Sicherheitslücke bei Cyanogenmod entdeckt
Sicherheitslücke bei Cyanogenmod entdeckt (Bild: Cyanogenmod)

Android Cyanogenmod-Betriebssystem zeichnet Entsperrmuster auf

Ein Programmierer des Android-Betriebssystems Cyanogenmod hat eine Sicherheitslücke im Quellcode des Systems bemerkt. Nach einem kürzlich erfolgten Update wird das individuelle Entsperrmuster des Sperrbildschirms aufgezeichnet und auf dem Gerät gespeichert.

Anzeige

Gabriel Castro vom Cyanogenmod-Team hat im Quelltext des alternativen Betriebssystems für Android-Geräte eine Zeile Code entdeckt, die offenbar das Entsperrmuster des Sperrbildschirms von Android aufzeichnet. Erst im August wurde dessen Funktion mit einem Update erweitert.

Die Größe des Feldes wurde mit dem Update von 3 x 3 Punkten auf maximal 6 x 6 Punkte vergrößert, was komplexere Entsperrmuster möglich macht. Dabei wurde in die neue Passage im Quelltext auch eine Zeile eingebaut, die das Muster über die Anwendung logcat protokolliert.

  • Im Quelltext der Aktualisierung wurde scheinbar der Log-Befehl vergessen.
  • Im August hat das Team von Cyanogenmod den Entsperrbildschirm von Android auf maximal 6 x 6 Punkte erweitert. (Screenshots: Golem.de)
  • Normalerweise kann man das Entsperrmuster nur über 3 x 3 Punkte verteilen.
  • Der neue Bildschirm ermöglicht weitaus komplexere Muster.
Im August hat das Team von Cyanogenmod den Entsperrbildschirm von Android auf maximal 6 x 6 Punkte erweitert. (Screenshots: Golem.de)

Sicherheitslücke wurde beseitigt

"Ich bin wirklich überrascht, dass das niemandem aufgefallen ist", schreibt Castro im Kommentar zu dem von ihm jetzt durchgeführten Patch. Castro schlug vor, die betreffende Zeile einfach aus dem Code von Cyanogenmod zu entfernen.

Weitere Programmierer der Gruppe stimmten Castro in seiner Einschätzung zu und unterstützten die Entfernung der Zeile. "Ja, das sollte auf jeden Fall ausgebessert werden", schreibt beispielsweise Björn Lundén in den Kommentaren zu Castros Patch. Mittlerweile wurde Castros Änderungsvorschlag angenommen.

Hintergrund des Problems womöglich ein Versehen

Die Umsetzung des Log-Befehls in der veröffentlichten Version scheint eher auf einem Zufall als auf Absicht zu beruhen. Die Formulierung "log.v" im Quellcode weist auf den Verbose-Modus hin, mit dem interne Vorgänge eines Programmcodes detailliert protokolliert werden können. Dadurch werden beispielsweise neu hinzugefügte Programmteile auf Fehler überprüft.

Die log.v-Zeile könnte also einfach dazu gedient haben, die Funktion des erweiterten Sperrbildschirms zu überprüfen. Offenbar wurde die betreffende Zeile der Testversion anschließend übersehen, als sie zur finalen Version umgebaut wurde.

Die Programmierer von Cyanogenmod kompilieren für eine Vielzahl von Android-Geräten alternative Versionen des Android-Betriebssystems. Erst vor kurzem wurden die neuen Funktionen von Android 4.1.2 in die Nightly Builds von CM10 eingebaut.


Trockenobst 24. Okt 2012

Der "richtige" Weg beim Java ist das Linken mit einer Dummy-Library, die beim Aufruf von...

Trockenobst 24. Okt 2012

Ich habe mir nach dem Entsperren angewöhnt einmal mit zwei Fingern quer über das Display...

Kommentieren



Anzeige

  1. Software-Ingenieur (m/w) Automatisierungstechnik
    ER-WE-PA GmbH, Erkrath
  2. Mitarbeiter/in zur Bedienung von Digitaldruck- und Weiterverarbeitungssystemen
    IT-Dienstleistungszentrum Berlin, Berlin
  3. Fachanalystin / Fachanalyst
    Landeshauptstadt München, München
  4. Softwareentwickler (m/w) mit Schwerpunkt Fertigungsprozess-Steuerung
    Siemens AG, Forchheim

 

Detailsuche


Spiele-Angebote
  1. Wolfenstein: The New Order kaufen und Gutschrift für Wolfenstein: The Old Blood sichern
  2. NEU: Watch Dogs [AT-PEGI] Bonus-Edition
    19,90€
  3. Grand Theft Auto V (PC)
    47,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Xeon E7 v3 alias Haswell-EX

    Intels Performance-Trick bei Server-Chips heißt TSX

  2. Politik

    Wie wir das Misstrauen lieben lernen

  3. Microsoft Office 2016

    Der Mac profitiert von reduzierten Office-Code-Basen

  4. VR im Journalismus

    So nah, dass es fast wehtut

  5. EU-Gericht

    Sky und Skype sind zum Verwechseln ähnlich

  6. Magenta Hybrid

    Software-Update führte zu Fehler bei Telekom-Hybrid

  7. Gog.com Galaxy ausprobiert

    Die Steam-Alternative mit der Abschalt-Option

  8. BND-Affäre

    CDU nennt SPD hysterisch

  9. Echtheitszertifikat

    Microsoft zeichnet IP-Adresse bei Windows-7-Aktivierung auf

  10. Rocket

    Google und Red Hat unterstützen Docker-Alternative



Haben wir etwas übersehen?

E-Mail an news@golem.de



Fire TV Stick im Test: Googles Chromecast kann einpacken
Fire TV Stick im Test
Googles Chromecast kann einpacken
  1. Amazons X-Ray im Hands On Fire TV zeigt direkt Zusatzinformationen zu Filmen
  2. Chromecast-Konkurrent Amazon verschickt Fire TV Stick bereits früher
  3. Chromecast-Konkurrent Amazons Fire TV Stick schon ab 7 Euro zu haben

Schöpfung 2.0: Bis zum Designerbaby ist es nicht mehr weit
Schöpfung 2.0
Bis zum Designerbaby ist es nicht mehr weit
  1. Luftfahrt Nasa testet verformbare Tragflächen
  2. Vorbild Tintenfisch Tarnmaterial ändert seine Farbe
  3. Keine Science-Fiction Mit dem Laser gegen Weltraumschrott

Voiceprint: Stimmenerkennung ist die neue Gesichtserkennung
Voiceprint
Stimmenerkennung ist die neue Gesichtserkennung
  1. Unsicheres Plugin Googles Passwort-Warnung lässt sich leicht aushebeln
  2. Security Die Makroviren kehren zurück
  3. Android Tausende Apps akzeptieren gefälschte Zertifikate

  1. Re: Und wie niedrig ist das Limit?

    marc1601 | 19:17

  2. Re: "vor allem mit seinen günstigen Preisen"

    ChMu | 19:14

  3. Re: neue IP alle 24 Stunden.

    Jakelandiar | 19:13

  4. Re: Es muss Krachen und Brennen, Radikalismus ist...

    boxcarhobo | 19:11

  5. Re: Dann lohnt es sich doch mal...

    BobQuentok | 19:11


  1. 19:05

  2. 17:40

  3. 17:34

  4. 17:19

  5. 16:51

  6. 15:56

  7. 15:00

  8. 14:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel