Експерти з безпеки продовжують виявляти уразливості в операційній системі Android. Цього разу було виявлено дещо справді цікаве і серйозне: за допомогою вразливості під кодовою назвою CVE-2015-3860 можна розблокувати пристрій під управлінням Android 5.0 Lollipop і вище без знання пароля.
Звичайно, вразливість діє тільки на екран блокування, для якого встановлений пароль.
Щоб скористатися новою «діркою» в коді, необхідно:
- на екрані блокування Android викликати додаток для набору екстреного дзвінка;
- набрати на клавіатурі дуже довгий рядок символів (краще набрати невеликий, а потім просто скопіювати її і кілька разів вставити);
- повернутися на екран блокування і викликати додаток «Камера»;
- з додатка відкрити меню налаштувань через верхню панель;
- після цього з'явиться поле для введення пароля для розблокування - вставити туди скопійовану величезний рядок символів;
- підтвердити вхід і почекати поки ОС вивантажить процеси з додатком камери і екран блокування з пам'яті;
- вуаля! Ви розблокували смартфон або планшет без пароля.
Уразливість актуальна для операційних систем Android починаючи з версії 5.0 і закінчуючи 5.1.1 (до прошивки LMY48M). Спосіб злому не самий очевидний, але до розробників Android теж є деякі питання. Наприклад, навіщо в полі введення пароля активна вставка та копіювання? Варто відзначити, що в деяких оболонках і кастомних прошивках такої можливості немає, тому уразливість для них не актуальна.
Сподіваємося, що уразливість буде виправлена в одному з прийдешніх міні-оновлень. Google вже напевно поінформована про наявність нової «дірки» у своїй ОС.