Samsung låseskærm bypass har dueling tredjepartsløsninger

Tidligere denne måned rapporterede mobilentusiast Terence Eden om en fejl i låseskærmkoden for Samsungs version af Android, en fejl, der ville tillade opkaldsnumre og køre apps, selv når telefonen er låst. Senere parlayerede han den samme teknik i et angreb, der helt kan deaktivere låseskærmen. Samsung arbejder på en patch, men i mellemtiden træffer mobilsikkerhedsfirmaer deres egne forholdsregler for at beskytte brugerne.

Ingen nødopkald

Vinduet med sårbarhed opstår, når nogen åbner appen ICE of Emergency (ICE) (som er tilgængelig, selv når telefonen er låst) og derefter trykker på Start-knappen. Forskere ved det vietnamesiske sikkerhedsfirma Bkav identificerede ICE som kilden til problemet. I et nyligt indlæg forklarede de: "Fejlen ligger i det faktum, at Samsung-ingeniører tillader, at ICE startes fra nødopkaldsvinduet. Det betyder, at en normal app (i dette tilfælde ICE) har tilladelse til at køre, selv når telefonen er låst."

Bkavs løsning er at deaktivere ICE-appen. Ved hjælp af den gratis eller kommercielle version af Bkav Mobile Security kan brugere vælge "Anti lock screen bypass" for at aktivere denne funktion. Ser du ikke denne mulighed? Så er din telefon ikke en, der er sårbar over for denne fejl.

Bkav-indlægget peger også på en fix, der tilbydes af Lookout, producenten af ​​Editors Choice Lookout Mobile Security, og hævder, at Lookout's fix er ineffektiv. Lookout overvåger ICE-appen og tvinger den til forgrunden, hvis den bliver skubbet til baggrunden af ​​det (korte) udseende på startskærmen. Ifølge Bkav, "dette er også den svigtende vej, som Samsung-ingeniører gik på… startskærmen er allerede blevet afsløret, nok tid til at onde får adgang til apps der."

Udkig svarer

David Richardson, produktchef bag Lookouts fix, mener noget andet. "Der er en række problemer, " sagde Richardson. "En af dem er, at du øjeblikkeligt kan se startskærmen og muligvis klikke på en knap… Sårbarheden, som vi beskytter dig mod, er meget værre. Det giver dig mulighed for helt at omgå låseskærmen, så den ikke engang re- lås, medmindre du tænder og tænder for enheden."

Richardson påpegede, at for en hacker, det faktum, at du øjeblikkeligt kan se startskærmen, er en anelse om, at noget er galt, at du muligvis kan parlay dette glimt til fuld adgang. ”Folk har fundet fire eller fem måder at omgå låseskærmen indtil videre. Vi beskytter mod de mest alvorlige, men der er sandsynligvis endnu fem der endnu er opdaget.

En anden tilgang

"Vi udforskede den tilgang, de implementerede, " sagde Richardson, "men vi følte, at det var for påtrængende, ikke noget, vi kunne skubbe ud til 35 millioner brugere." Han fortsatte med at bemærke, "Hvis vi forhindrede, at endda en person foretager et nødvendigt nødopkald, er det meget værre end nogen sårbarhed. I stedet beskytter vi flertallet mod den mest kritiske risiko, der er permanent omgåelse af låseskærmen."

Richardson påpegede, at Bkav-løsningen kræver aktiv deltagelse af brugeren. "Hvis vi ville gøre det, ville vi være nødt til at bede om bekræftelse for at deaktivere ICE, " sagde Richardson. "Vi ville ikke bare tage den handling, men vi vil gerne beskytte brugere, der aldrig engang har hørt om denne sårbarhed."

I sidste ende, sagde Richardson, "Samsung har brug for at løse det grundlæggende problem. Brugere skal kigge efter den patch - vi vil fortælle dem, hvornår den er tilgængelig. Og vi vil beskytte dem i mellemtiden."

Som svar på en tidligere forespørgsel fra SecurityWatch sagde Samsung "Samsung betragter brugerens privatliv og sikkerhed af brugerdata som dens højeste prioritet. Vi er opmærksomme på dette problem og vil frigive en løsning hurtigst muligt."

Husk også, at ingen kan bryde ind i din telefon ved hjælp af denne teknik, mens telefonen ligger sikkert i din lomme eller pung. Der er meget, der skal siges for almindelig gammel fysisk sikkerhed.