11.11.2022, 13:15 Uhr | Lesezeit: 3 Minuten
Ein Sicherheitsforscher hat eine gravierende Sicherheitslücke in Googles eigenen Smartphones gefunden. Hacker können damit kinderleicht das Gerät entsperren.
Normalerweise sind Entsperrmethoden wie Passwort, Zahlencode oder biometrische Authentifizierung recht sicher. Doch nun hat ein Sicherheitsforscher herausgefunden, dass Hacker die Displaysperre in Pixel-Smartphones von Google ohne großen Aufwand umgehen können.
Eine SIM-Karte reicht, um das Smartphone zu entsperren
In einem Post auf seinem eigenen Blog erklärt der ethische Hacker David Schulz, wie er mithilfe von einer SIM-Karte die Sperre aushebeln konnte. Ethische Hacker sind Personen, die Geräte hacken, um Sicherheitslücken zu finden und diese an Unternehmen zu melden.
Schulz ist per Zufall auf eine Schwachstelle in der Displaysperre gestoßen, nachdem sich sein Google Pixel 6 wegen niedriger Batterie ausgeschaltet hatte. Beim Neustart gab er dreimal die PIN für die SIM-Karte falsch ein, musste daher die PUK suchen und eine neue PIN festlegen. Danach müssen Nutzer normalerweise den für die Displaysperre festgelegten Zahlencode oder das Passwort eingeben, um das Smartphone nach dem Neustart zu entsperren. Doch stattdessen zeigte Schulz‘ Pixel 6 direkt das Fingerabdruck-Icon an. Das Smartphone ließ sich zwar entsperren, blieb aber bei der Nachricht „Pixel startet“ hängen.
Es war also klar, dass etwas nicht stimmte. Als Sicherheitsforscher musste Schulz der Sache nachgehen. Er wiederholte den Prozess mehrere Male und das Pixel 6 blieb stets bei „Pixel startet“ hängen. Bei einem der Versuche vergaß Schulz jedoch, das Smartphone neu zu starten und sperrte es stattdessen wieder mit dem Power Button. Er tauschte die SIM, gab die PIN dreimal falsch ein und wählte eine neue PIN. Doch anstatt das Fingerabdruck-Icon anzuzeigen, sprang das Smartphone direkt zum Homescreen. Schulz konnte sein Google Pixel 6 also nutzen, ohne die Displaysperre überhaupt gesehen zu haben. Er replizierte den gleichen Vorgang auf einem Pixel 5 – mit dem gleichen Ergebnis.
Google beseitigt die Sicherheitslücke in der Displaysperre
Tatsächlich hat Schulz damit eine der wohl gravierendsten Sicherheitslücken in der Android-Geschichte gefunden. Denn Hacker können damit die Displaysperre von Google-Smartphones umgehen, indem sie einfach ihre eigene SIM-Karte einlegen.
Schulz hat die Schwachstelle umgehend an Google gemeldet. Seinem Blogpost zufolge war er die zweite Person, die den Fehler gefunden hat. Doch anscheinend war seine Erkenntnis ausschlaggebend für Google, die Sicherheitslücke zu schließen. Mittlerweile hat das Unternehmen die Schwachstelle CVE-2022-20465 mit dem aktuellen Sicherheitspatch vom 5. November 2022 beseitigt.
TECHBOOK rät deshalb dringend dazu, den Patch schnellstmöglich zu installieren. Er steht für Pixel 4a und neuer zur Verfügung. Sie können den Patch manuell installieren unter Einstellungen>System>Systemupdate.
Derzeit ist noch unklar, ob auch ältere Google-Pixel-Smartphones von der fehlerhaften Displaysperre betroffen sind und den Sicherheitspatch bekommen sollen. Das Pixel 4 (XL) etwa bekommt laut Google-Support seit diesem Monat keine Sicherheits-Updates mehr. Sobald TECHBOOK eine Antwort von Google erhält, passen wir diesen Artikel entsprechend an.
Viele Geräte unsicher Chip-Sicherheitslücke macht fast jedes dritte Smartphone für Hacker angreifbar
HomeKit-Bug Neuer Hacker-Trick macht iPhones und iPads unbrauchbar
Jetzt verfügbar iOS 17.0.1 und iOS 17.0.2 sind da! Sollte man die iPhone-Updates installieren?
Quelle
- bugs.xdavidhu.me: Accidental $70k Google Pixel Lock Screen Bypass (aufgerufen am 11. November 2022)