Android 5.x Ekran Kilidi Geçiliyor (CVE-2015-3860)

Siber Güvenlik Araştırmacısı J

Akıllı telefonlarda desen, şifre, pin gibi farklı seçenekler sunan ekran kilidi herkese cazip geldiği ve güvende hissettirdiği doğru ancak J

CVE-2015-3860 kodunun atandığı bu güvenlik zafiyeti “Elevation of Privilege Vulnerability in Lockscreen” adıyla anılmaya başlandı.

Ekran Kilidi Nasıl Bypass Ediliyor ?

John Gardon’un sihrinin sırrı aşağıdaki gibi;

  • Acil arama ekranı açılıyor.
  • Acil arama ekranına özel karakterler yada sayılardan oluşan uzun bir dizi girin (***************************) ve limiti doldurana kadar  kopyala/yapıştır yapılıyor.
  • Oluşturulan bu dizi kopyalanır.
  • Ekran kilitli durumdayken geçilebilen kamera uygulaması açılıyor.
  • Bildirim çubuğu aşağıya çekiliyor ve şifre için bir istemci görülüyor, ayarlar simgesine dokunuluyor.
  • Şimdi daha büyük bir baskı için son kopyalanan dize sürekli olarak yapıştırılıyor.
  • Kameraya geri geliniyor ve resimler üzerine tıklanarak ses azaltma düğmesine basıldığında ana ekrana yönlendiriliyor.

android-kilit-1android-kilit-2android-kilit-3
android-kilit-4android-kilit-5android-kilit-6
android-kilit-7android-kilit-8android-kilit-9

İyi Haberimiz Var

Google bu zafiyetin giderilmesi için bir yama yayınladı.

Pin It

5 thoughts on “Android 5.x Ekran Kilidi Geçiliyor (CVE-2015-3860)

    • Kilit ekranından kameraya geçilebildiği durumda.
      Bir çok cihazda ekrandaki butonlar ile geçiş yapılamasa bile “ses tuşları ve güç düğmesi” gibi kombinasyonlarla kameraya geçiş yapılabilmekte!

  1. Semih DEMİRCİ 16 Eylül 2015 at 21:33 - Reply

    Zafiyet bir nevi kullanıcı tarafından da engellenebilir anladığım kadarıyla.. Teşekkürler..

  2. Bu açık Samsung telefonlarda kopyalama özelliği aktif olmadığı için çalışmıyor. Pure android olan Google Nexus telefonlarda çalışıyor. Samsung kullanıcılarını bu açık ilgilendirmiyor.

    • Burak Kılınç 17 Eylül 2015 at 08:37 - Reply

      Merhabalar,
      Mustafa Bey orda kopyala yapıştır yapılmasındaki amaç şifre girilen alandaki hanelerin limitini çabuk doldurmak içindir ama kullanıcı elle tek tek basarak o limiti doldurunca açık çalışacaktır.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.