Já por diversas vezes apresentámos problemas nas interfaces de bloqueio dos dispositivos móveis. Essas falhas permitem que qualquer pessoa, com acesso físico ao equipamento, contorne as medidas de segurança que os sistema operativos disponiblizam e acedam a aplicações e a dados do utilizador.
Por norma estes problemas manifestam-se no iOS e no iPhone, mas existem algumas excepções e desta vez o alvo foi o Galaxy Note 2 e o Android.
A falha agora descoberta permite que qualquer pessoa que tenha acesso a um Galaxy Note 2 consiga correr as aplicações que estiverem no ecrã principal do Android ou qualquer Wiget que esteja lá colocado. É possível aceder a essas aplicações mesmo que a protecção do telefone seja feita por Pattern Lock, PIN, Password ou Face Unlock.
Mais uma vez o problema está associado à função de chamada de emergencia dos telefones, tal como acontece na maioria dos casos. Era desta forma que o último bug do iOS era explorado.
Esta falha foi descoberta por Terence Eden que a relatou com grande detalhe no seu blog e onde apresentou detalhadamente a forma de a explorar.
O problema descoberto advém de uma lentidão na activação do bloqueio quando o utilizador retorna da zona de chamadas de emergencia para o ecrã de bloqueio. No tempo que demora a passar de uma função para a outra é possível aceder ao ecrã principal do Android e executar aplicações ou widgets.
O vídeo abaixo mostra a forma simples como conseguem contornar a segurança do Android no Galaxy Note 2.
Como puderam ver pelo vídeo apresentado é extremamente simples contornar a segurança do Galaxy Note 2 e aceder a aplicações ou widgets que estejam no vosso equipamento.
Se quiserem testar esta falha no vosso Galaxy Note 2 podem fazê-lo seguindo os seguintes passos:
HOWTO
- Lock the device with a “secure” pattern, PIN, or password.
- Activate the screen.
- Press “Emergency Call”.
- Press the “ICE” button on the bottom left.
- Hold down the physical home key for a few seconds and then release.
- The phone’s home screen will be displayed – briefly.
- While the home screen is displayed, click on an app or a widget.
- The app or widget will launch.
- If the widget is “direct dial” the phone will start ringing.
Apesar de ser uma falha de segurança, esta é de alcance limitado. Apenas é possível correr os widgets que estejam acessíveis no ecrã, sendo os mais críticos as chamadas directas, ou aplicações que imediatamente após o seu lançamento vão ser colocadas em backgroud. No entanto não deixa de ser uma falha que pode ser explorada para ver e aceder a outros dados dos utilizadores.
A Samsung foi contactada e informada deste problema, mas até agora ainda não contactou Terence Eden e nem reconheceu o problema, Não existe qualquer informação sobre a sua resolução ou sobre a extensão do problema.