Vergrendelscherm omzeilbaar Android

Kwaadwillenden kunnen in 4 stappen Android-telefoons ontgrendelen. Google dichtte het beveiligingslek inmiddels, maar ben jij ook al veilig?

We wanen ons tegenwoordig veilig met het vergrendelingsscherm op onze smartphone. Een code of vingerafdruk moet onze gegevens beschermen tegen de buitenwereld. Toch moeten we waakzaam zijn, blijkens de onthulling van beveiligingsonderzoeker David Schütz over hoe het vergrendelscherm van Android-smartphones omzeilbaar is. Met enkele simpele stappen kon Schütz eerder dit jaar door de beveiliging heen breken.

Vergrendelingsscherm omzeilen

In de blogpost over het beveiligingslek omschrijft Schütz de stappen die nodig zijn om de beveiliging te omzeilen. Dit is vrij simpel: voer een andere simkaart in als je Android-telefoon vergrendeld is en voer driemaal een verkeerde pincode in tot je de puk-code kan ingeven. Vul vervolgens een nieuwe pincode in en voilà: de telefoon zal zichzelf ontgrendelen.

Deze stappen werken overigens alleen als de telefoon eerder is ontgrendeld. In het geval dat je het toestel net opnieuw hebt opgestart en dezelfde stappen uitvoert, werken de stappen ‘gedeeltelijk’. In plaats van je naar het startscherm van je telefoon te brengen, hoef je plots je pincode, patroon of wachtwoord niet meer in te voeren na de herstart. Enkel een vingerafdruk is dan voldoende om het toestel te ontgrendelen. Normaliter moet je bij het opnieuw opstarten van je Android-smartphone minstens een tweede vorm van beveiliging langsgaan.

Beveiligingspatches van november

Of jouw toestel kwetsbaar is voor dit beveiligingslek is afhankelijk van de updatestatus. Schütz zegt dat Google het beveiligingslek met de patches van 5 november 2022 heeft opgelost. Voor verreweg de meeste Android-telefoons geldt dat ze voorlopig nog kwetsbaar zijn voor de omzeiling. Degenen die een telefoon bezitten en gebruiken die geen regelmatige updates meer ontvangt, moeten er op dit moment over nadenken over te stappen naar een ander toestel. Dit lek is immers vrij simpel uit te buiten, mits men fysieke toegang heeft tot je smartphone.

Opvallend was dat Google in eerste instantie weinig aandacht leek te hebben voor het probleem. De melding van Schütz bleef op de plank liggen. Pas toen de onderzoeker meermaals met de publicatie van het lek ‘dreigde’, besloot Google vaart te zetten achter de oplossing. Als beloning voor het melden van het lek ontving de onderzoeker een bug bounty van 70.000 dollar.