Bei Android ist eine massive Sicherheitslücke bekannt geworden. Angreifer können Android-Smartphones in weniger als einer Minute unter ihre Kontrolle bringen, heißt es. Google hat bereits reagiert und einen Sicherheits-Patch verteilt.

Android: Lücke ermöglicht volle Handy-Kontrolle

Der ungarische Sicherheitsforscher David Schütz hat eine umfangreiche Schwachstelle bei Android entdeckt. Ihm zufolge ist es möglich, in weniger als einer Minute eine vollständige Kontrolle über Android-Handys zu erlangen. Dafür muss das Smartphone physisch vorliegen, ein Angriff aus der Ferne ist also nicht möglich. Für die Attacke selbst muss aber weder spezielle Software noch Werkzeug zum Einsatz kommen.

Schütz erläutert, dass die Schwachstelle über den Sperrbildschirm von Android ausgenutzt werden kann. Dazu wird zunächst eine eigene SIM-Karte in das Smartphone eingesetzt, die über eine PIN-Sperre verfügt. Anschließend wird die SIM-PIN dreimal absichtlich falsch eingegeben, woraufhin der richtige PUK-Code eingetippt wird. Danach lässt sich eine neue PIN für die SIM vergeben. Android gibt daraufhin den Sperrbildschirm frei und das System steht offen (Quelle: David Schütz bei xdavidhu.me).

Der Angriff konnte erfolgreich auf einem Pixel 6 von Google durchgeführt werden. Prinzipiell lässt sich die Schwachstelle aber auf allen Android-Geräten ausnutzen.

So lässt sich der Sperrbildschirm von Android umgehen:

Google entfernt Lücke mit Sicherheits-Patch

Für seine eigenen Smartphones hat Google einen Sicherheits-Patch verteilt, der die Lücke schließt. Er steht seit dem 5. November 2022 zur Verfügung. Auch andere Hersteller dürften entsprechende Patches in nächster Zeit bereitstellen beziehungswiese haben ihn schon an ihre Nutzer weitergegeben haben.

Schütz ist mit seiner Entdeckung nicht unmittelbar an die Öffentlichkeit gegangen, sondern hat zuerst Google als Hersteller von Android informiert. Der Konzern hat dem Sicherheitsforscher daraufhin 70.000 US-Dollar als Belohnung gezahlt.