Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Android 5.x Ekran Kilidi Geçiliyor (CVE-2015-3860)

5

Siber Güvenlik Araştırmacısı J

Akıllı telefonlarda desen, şifre, pin gibi farklı seçenekler sunan ekran kilidi herkese cazip geldiği ve güvende hissettirdiği doğru ancak J

CVE-2015-3860 kodunun atandığı bu güvenlik zafiyeti “Elevation of Privilege Vulnerability in Lockscreen” adıyla anılmaya başlandı.

Ekran Kilidi Nasıl Bypass Ediliyor ?

John Gardon’un sihrinin sırrı aşağıdaki gibi;

  • Acil arama ekranı açılıyor.
  • Acil arama ekranına özel karakterler yada sayılardan oluşan uzun bir dizi girin (***************************) ve limiti doldurana kadar  kopyala/yapıştır yapılıyor.
  • Oluşturulan bu dizi kopyalanır.
  • Ekran kilitli durumdayken geçilebilen kamera uygulaması açılıyor.
  • Bildirim çubuğu aşağıya çekiliyor ve şifre için bir istemci görülüyor, ayarlar simgesine dokunuluyor.
  • Şimdi daha büyük bir baskı için son kopyalanan dize sürekli olarak yapıştırılıyor.
  • Kameraya geri geliniyor ve resimler üzerine tıklanarak ses azaltma düğmesine basıldığında ana ekrana yönlendiriliyor.

android-kilit-1android-kilit-2android-kilit-3
android-kilit-4android-kilit-5android-kilit-6
android-kilit-7android-kilit-8android-kilit-9

İyi Haberimiz Var

Google bu zafiyetin giderilmesi için bir yama yayınladı.

5 Yorum

  • Semih DEMİRCİ dedi ki:

    Kamera uygulaması parola korumalı olduğu halde mi bypass edilebiliyor?

    • Hakkı Yüce dedi ki:

      Kilit ekranından kameraya geçilebildiği durumda.
      Bir çok cihazda ekrandaki butonlar ile geçiş yapılamasa bile “ses tuşları ve güç düğmesi” gibi kombinasyonlarla kameraya geçiş yapılabilmekte!

  • Semih DEMİRCİ dedi ki:

    Zafiyet bir nevi kullanıcı tarafından da engellenebilir anladığım kadarıyla.. Teşekkürler..

  • Mustafa dedi ki:

    Bu açık Samsung telefonlarda kopyalama özelliği aktif olmadığı için çalışmıyor. Pure android olan Google Nexus telefonlarda çalışıyor. Samsung kullanıcılarını bu açık ilgilendirmiyor.

    • Burak Kılınç dedi ki:

      Merhabalar,
      Mustafa Bey orda kopyala yapıştır yapılmasındaki amaç şifre girilen alandaki hanelerin limitini çabuk doldurmak içindir ama kullanıcı elle tek tek basarak o limiti doldurunca açık çalışacaktır.

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.