Video: Samsung Galaxy S20 how to reset forgot screen lock, pin, password , locked out, bypass locked screen (November 2024)
Geen noodoproepen
Het kwetsbare venster treedt op wanneer iemand de In Case of Emergency (ICE) -app opent (die zelfs beschikbaar is wanneer de telefoon is vergrendeld) en vervolgens op de Home-knop drukt. Onderzoekers van het Vietnamese beveiligingsbedrijf Bkav identificeerden ICE als de oorzaak van het probleem. In een recent bericht legden ze uit: "De fout zit in het feit dat Samsung-ingenieurs toestaan dat ICE wordt gestart vanuit een noodoproepvenster. Dit betekent dat een normale app (in dit geval ICE) kan worden uitgevoerd, zelfs wanneer de telefoon is vergrendeld."
De oplossing van Bkav is het uitschakelen van de ICE-app. Met behulp van de gratis of commerciële versie van Bkav Mobile Security kunnen gebruikers kiezen voor "Anti-lock screen bypass" om deze functie te activeren. Zie je die optie niet? Dan is je telefoon niet een die kwetsbaar is voor deze bug.
De Bkav-post verwijst ook naar een oplossing die wordt aangeboden door Lookout, de maker van Editors's Choice Lookout Mobile Security, die beweert dat de oplossing van Lookout niet effectief is. Lookout bewaakt de ICE-app en dwingt deze naar de voorgrond als deze naar de achtergrond wordt geduwd door het (korte) uiterlijk van het startscherm. Volgens Bkav: "Dit is ook de mislukte weg die Samsung-ingenieurs hebben afgelegd… het startscherm is al onthuld, genoeg tijd voor slechteriken om daar apps te openen."
Lookout reageert
David Richardson, productmanager achter de oplossing van Lookout, denkt anders. "Er zijn veel problemen", zegt Richardson. "Een daarvan is dat je tijdelijk het startscherm kunt zien en mogelijk op een knop kunt klikken… De kwetsbaarheid waartegen we je beschermen, is veel erger. Je kunt het vergrendelscherm volledig omzeilen, zodat het zelfs niet opnieuw vergrendelen tenzij u het apparaat uit en weer inschakelt."
Richardson wees erop dat voor een hacker het feit dat je tijdelijk het startscherm kunt zien, een aanwijzing is dat er iets mis is, dat je die glimp misschien in volledige toegang kunt krijgen. "Mensen hebben tot nu toe vier of vijf manieren gevonden om het vergrendelscherm te omzeilen. We beschermen tegen de meest ernstige, maar er zijn er waarschijnlijk nog vijf te ontdekken.
Een andere aanpak
"We hebben de aanpak onderzocht die ze hebben geïmplementeerd, " zei Richardson, "maar we vonden het te opdringerig, niet iets dat we konden uitduwen naar 35 miljoen gebruikers." Hij ging verder en merkte op: "Als we zelfs maar één persoon beletten een noodoproep te doen, is dat veel erger dan een kwetsbaarheid. In plaats daarvan beschermen we de meerderheid tegen het meest kritieke risico, namelijk permanente bypass van het vergrendelscherm."
Richardson wees erop dat de Bkav-oplossing actieve deelname van de gebruiker vereist. "Als we dat zouden doen, zouden we om bevestiging moeten vragen om ICE uit te schakelen, " zei Richardson. "We zouden niet alleen die actie ondernemen, maar we willen gebruikers beschermen die nog nooit van dit beveiligingslek hebben gehoord."
Uiteindelijk zei Richardson: "Samsung moet het fundamentele probleem oplossen. Gebruikers moeten naar die patch zoeken - we zullen ze laten weten wanneer deze beschikbaar is. En we zullen ze tussentijds beschermen."
In antwoord op een eerdere vraag van SecurityWatch zei Samsung: "Samsung beschouwt gebruikersprivacy en de beveiliging van gebruikersgegevens als de hoogste prioriteit. We zijn ons bewust van dit probleem en zullen zo snel mogelijk een oplossing uitbrengen."
Onthoud ook dat niemand met deze techniek in je telefoon kan inbreken terwijl de telefoon veilig in je zak of tas zit. Er is veel te zeggen voor gewone oude fysieke beveiliging.
