Sicherheitslücke: Mit Skype Android-PIN umgehen

Mit einem einfachen Skype-Anruf lassen sich trotz PIN-Sperre Fotos, Kontakte und mehr auf einem Android-Smartphone einsehen. Ein Update wurde veröffentlicht, steht aber noch nicht für alle Geräte zur Verfügung.

Artikel veröffentlicht am ,
Mit einem Skype-Anruf die PIN-Sperre von Android umgehen
Mit einem Skype-Anruf die PIN-Sperre von Android umgehen (Bild: Pexels/CC0 1.0)

Eine PIN soll ein Android-Smartphone vor unbefugten Zugriffen schützen. Mit einem Skype-Anruf lässt sich der Schutz jedoch umgehen und auf Fotos und Bilder zugreifen. Selbst ein Browser konnte geöffnet werden. Entdeckt hatte die Sicherheitslücke der Bughunter Florian Kunushevci, wie The Register berichtet. Microsoft hat die Lücke geschlossen, nicht alle Geräte haben bereits Updates erhalten.

Stellenmarkt
  1. Geoinformatiker/GIS-Administ- rator/GIS-Spezialist (m/w/d)
    Stadt Nürtingen, Nürtingen
  2. IT-Beratung & Support für Baustellen und Konzernstandorte (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Auf Youtube zeigt Kunushevci, wie einfach sich die Lücke ausnutzen lässt - physischer Zugriff auf das Gerät vorausgesetzt: Die Annahme eines Skype-Anrufs reicht. Einmal auf den Nickname des Anrufenden in der rechten oberen Ecke getippt, können alle Fotos und Kontakte eingesehen werden. Schreibt der Angreifer URLs in die Skype-Nachrichten, kann er diese anklicken und in einem Webbrowser öffnen. Hieraus können sich weitere Angriffe ergeben: Beispielsweise könnte eine Webseite angesurft werden, die Schadcode enthält. Laut Kunushevci ließen sich über den Browser auch andere Apps öffnen.

In einem Test von Golem.de konnten wir sogar Geld von dem Anrufenden anfordern. Auf die Kontakte, die Fotos und den Browser konnten wir ebenfalls zugreifen. Andere Apps ließen sich in unserem Test jedoch nicht aus dem Browser öffnen. Ein Update für Skype war auf unserem Test-Smartphone mit Android 8.0 noch nicht erhältlich. Wir kamen nicht über die Skype-Version 8.36.0.52 vom 11. Dezember 2018 hinaus. Microsoft hat die Sicherheitslücke jedoch erst mit dem Update vom 23. Dezember 2018 behoben.

Der 19-jährige Kunushevci hat die Sicherheitslücke bereits im Oktober an Microsoft gemeldet. Betroffen sind laut Kunushevci alle Android-Versionen sowie alle Arten der Bildschirmsperre (PIN, Passwort, Fingerabdruck, Gesichtserkennung).

Auch Apples Bildschirmsperre konnte bereits umgangen werden

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Dem Youtuber Jose Rodriguez ist es bereits mehrmals gelungen, die Bildschirmsperre von Apples iOS zu umgehen. Erst 2018 gelang es ihm, in 37 Schritten die Kontakte und Fotos eines gesperrten iPhones mit dem aktuellen iOS 12 anzuzeigen. Im Jahr 2016 konnte er Apples Sprachassistentin Siri dazu bringen, ihm ebenfalls Zugriff auf die Kontakte und Fotos auf einem iPhone zu gewähren. Im Jahr davor gelang ihm unter iOS 9 der Zugriff auf die gespeicherten Bilder.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Dark Alliance angespielt: Als Heldenhammer durch Dungeons & Dragons
    Dark Alliance angespielt
    Als Heldenhammer durch Dungeons & Dragons

    Wuchtige Kämpfe und wertvolles Loot: Golem.de hat als Zwerg Bruno Heldenhammer in Dungeons & Dragons Dark Alliance gekämpft.
    Von Peter Steinlechner

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

pommesmatte 08. Jan 2019

Genau. Und besagter Trojaner muss dann aber eben sowohl die Berechtigung haben, die...

Urbautz 08. Jan 2019

Bei Android weiß man einfach dass es unsicher ist. Da wundert sich niemand mehr.

Niaxa 07. Jan 2019

Na endlich hat's einer. Nicht nur das man überall einen Pin eingeben müsste, man hätte...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /