Sicherheitslücke: Mit Skype Android-PIN umgehen

Mit einem einfachen Skype-Anruf lassen sich trotz PIN-Sperre Fotos, Kontakte und mehr auf einem Android-Smartphone einsehen. Ein Update wurde veröffentlicht, steht aber noch nicht für alle Geräte zur Verfügung.

Artikel veröffentlicht am ,
Mit einem Skype-Anruf die PIN-Sperre von Android umgehen
Mit einem Skype-Anruf die PIN-Sperre von Android umgehen (Bild: Pexels/CC0 1.0)

Eine PIN soll ein Android-Smartphone vor unbefugten Zugriffen schützen. Mit einem Skype-Anruf lässt sich der Schutz jedoch umgehen und auf Fotos und Bilder zugreifen. Selbst ein Browser konnte geöffnet werden. Entdeckt hatte die Sicherheitslücke der Bughunter Florian Kunushevci, wie The Register berichtet. Microsoft hat die Lücke geschlossen, nicht alle Geräte haben bereits Updates erhalten.

Stellenmarkt
  1. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
  2. Software Developer - Web und Cloud (m/w/d)
    Hays AG, Stuttgart
Detailsuche

Auf Youtube zeigt Kunushevci, wie einfach sich die Lücke ausnutzen lässt - physischer Zugriff auf das Gerät vorausgesetzt: Die Annahme eines Skype-Anrufs reicht. Einmal auf den Nickname des Anrufenden in der rechten oberen Ecke getippt, können alle Fotos und Kontakte eingesehen werden. Schreibt der Angreifer URLs in die Skype-Nachrichten, kann er diese anklicken und in einem Webbrowser öffnen. Hieraus können sich weitere Angriffe ergeben: Beispielsweise könnte eine Webseite angesurft werden, die Schadcode enthält. Laut Kunushevci ließen sich über den Browser auch andere Apps öffnen.

In einem Test von Golem.de konnten wir sogar Geld von dem Anrufenden anfordern. Auf die Kontakte, die Fotos und den Browser konnten wir ebenfalls zugreifen. Andere Apps ließen sich in unserem Test jedoch nicht aus dem Browser öffnen. Ein Update für Skype war auf unserem Test-Smartphone mit Android 8.0 noch nicht erhältlich. Wir kamen nicht über die Skype-Version 8.36.0.52 vom 11. Dezember 2018 hinaus. Microsoft hat die Sicherheitslücke jedoch erst mit dem Update vom 23. Dezember 2018 behoben.

Der 19-jährige Kunushevci hat die Sicherheitslücke bereits im Oktober an Microsoft gemeldet. Betroffen sind laut Kunushevci alle Android-Versionen sowie alle Arten der Bildschirmsperre (PIN, Passwort, Fingerabdruck, Gesichtserkennung).

Auch Apples Bildschirmsperre konnte bereits umgangen werden

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    19./20.07.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Dem Youtuber Jose Rodriguez ist es bereits mehrmals gelungen, die Bildschirmsperre von Apples iOS zu umgehen. Erst 2018 gelang es ihm, in 37 Schritten die Kontakte und Fotos eines gesperrten iPhones mit dem aktuellen iOS 12 anzuzeigen. Im Jahr 2016 konnte er Apples Sprachassistentin Siri dazu bringen, ihm ebenfalls Zugriff auf die Kontakte und Fotos auf einem iPhone zu gewähren. Im Jahr davor gelang ihm unter iOS 9 der Zugriff auf die gespeicherten Bilder.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


pommesmatte 08. Jan 2019

Genau. Und besagter Trojaner muss dann aber eben sowohl die Berechtigung haben, die...

Urbautz 08. Jan 2019

Bei Android weiß man einfach dass es unsicher ist. Da wundert sich niemand mehr.

Niaxa 07. Jan 2019

Na endlich hat's einer. Nicht nur das man überall einen Pin eingeben müsste, man hätte...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  3. Elektroauto: Mercedes passt EQA-Preise an
    Elektroauto
    Mercedes passt EQA-Preise an

    Mercedes erhöht den Preis für das Elektroauto EQA 250 und macht den EQA 250+ günstiger.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€, Kingston Fury DDR5-4800 32GB 195€) • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar [Werbung]
    •  /