Es posible saltarse la pantalla de bloqueo de Android

0

Normalmente, cuando hablamos de contraseñas, solemos decir que cuanto más larga sea mejor, ¿correcto? Pero ya sabéis, el mundo de la ciberseguridad gira a  veces de forma inesperada y lo que antes era válido…deja de serlo en ciertos casos.

Saltarse la pantalla de bloqueo de Android

John Gordon, investigador de la Universidad de Texas, EEUU, afirma haber descubierto una vulnerabilidad en las últimas versiones de Android 5.X o Android Lollipop, que podrían ofrecer acceso a los atacantes a un dispositivo. No importa si este se considera completamente bloqueado. No importa si el cifrado está habilitado.

El caso es, que una cadena de texto alfanumérico particular, siendo introducida en el campo “contraseña”, podría darle al hacker el acces al sistema y comunicaciones.

Sobrepasando la pantalla de bloqueo de Android con una contraseña larga

Gordon ha descubierto el fallo recientemente, comprobando como una cadena lo bastante larga que sea colocada en el campo de contraseña puede hacer que el dispositivo se bloquee y comporte de forma errática, enviando al usuario directamente a la pantalla de bloqueo.

 

Demostración en vídeo: cómo saltarse la pantalla de bloqueo de Android

Gordon ha colocado un vídeo demostrativo en Youtube para que lo comprendamos mejor. Se muestra el ataque en un equipo Google Nexus 4. Además, tenéis más información disponible en el blog de su Universidad de Texas.

Introducir una cadena muy larga de texto será más fácil, como apunta Gordon, si utlizamos la característica copy-paste del teléfono.

Escribe unos cuantos caractéres, hasta unos 10. Haz un doble click sobre ellos para marcarlos y presiona el botón <copiar>, luego haz lo mismo más adelante para pegar esa cadena y doblar el número. Repite la selección pero ampliando ahora a los 20 caracteres y vuelve a repatir los pasos para incrementar la cadena. Debes hacerlo hasta que no puedas seleccionarla entera mediante el doble-toque.

Esto suele ocurrir normalmente cuando se han superado los 110 caracteres.

¿Explotar el fallo?

Obviamente, hablamos de una vulnerabilidad que requiere acceso físico al dispositivo para ser explotada. La severidad de este fallo se ha marcado como “moderada” y no se sabe que se esté explotando actualmente.

Gordon reportó la vulnerabilidad ya a finales de Junio, pero no se ha sabido hasta ahora debido a la precaución con que se deben tomar estos temas (no publicando información hasta que las correciones estén cercanas o aplicadas).

Soluciones

Lo cierto es que este fallo puede solucionarse de formas bastante diferentes y algunas sencillas:

  • Limitando la capacidad de la función copiar-pegar en el campo de contraseñas o su longitud total.
  • Realizando una comprobación de integridad del código del programa para corregir la instrucción (cosa de Google)

Obviamente, si podéis actualizar vuestro terminal Android a una versión más reciente, esto será suficiente para protegeros. Si no es así, siempre podéis descargaros un “locker” de terceros que haga la función del incluído por Google, desde la tienda oficial.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR