CyanogenMod zapisuje wzór ekranu blokowania

CyanogenMod zapisuje wzór ekranu blokowania

przez -
12 711
System operacyjny, systemy operacyjne

Gabriel Castro odkrył poważny błąd w firmwarze CyanogenModa, pozwalający na wykradnięcie wzoru, który blokuje ekran. Jest to siatka składająca się z kropek o rozmiarze 3×3, na której użytkownik ustala swój wzór i który zostaje zapamiętany przez system zabezpieczeń. Okazuje się, że firmware zapisuje w logach wzór, jaki sobie wybraliśmy do zabezpieczenia ekranu. Deweloper jest bardzo zniesmaczony całą sytuacją i uważa, że trzeba przywiązywać większą wagę do testów kodu.

O ile luka jest poważna, o tyle trzeba mieć fizyczny dostęp do urządzenia, aby móc w ogóle wykraść ten wzór. Gabriel Castro napisał już odpowiednią łatkę i dodał ją do głównego kodu CyanogenModa.

  • Jak ktoś ma brudny ekran to jeszcze prościej wykraść taki kod.

    • Tomaszczyk

      Dlatego ja maniakalnie czyszczę ekran :D

  • Greg

    A po co oni to zapisują? Dobrze, że to Open Source to przynajmniej wiemy co się stało. W komercyjnym sofcie nigdy byśmy nie dowiedzieli się o tej luce.

    • 123qwe

      "A po co oni to zapisuja?"

      Moze bylo przydatne do testow, czy wszystkie punkty sa wylapywane, pozniej ktos o tym zapomnial albo poprostu nie chcialo mu sie lub uznal, ze pewnie i tak ktos to poprawi.. co sie wlasnie stalo.

    • Tomaszczyk

      Przydałaby się zatem lepsza rewizja kodu takich kluczowych elementów. Na szczęście działa to lokalnie i trzeba mieć dostęp do urządzenia, więc głupia aplikacja nie powinna tego wykraść :)

      Tylko jak wykraść to z urządzenia jak nie da się go odblokować?

    • Uruchomić urządzenie w jakimś trybie wgrywania firmware i pobrać ten co jest? Nie wiem. Domyślam się.

    • eMcE

      Nie trzeba. Można się dobrać do tych danych normalnie. Jak ktoś zrobił sobie backup spod "recovery", to leżą sobie one na karcie SD :)

    • Czyli wtedy może po nie sięgnąć aplikacja de facto?

    • 123qwe

      http://forum.xda-developers.com/wiki/ClockworkMod

      Jesli ktos ma zainstalowany cyanogenmod to tez powinien miec ta aplikacje (juz dokladnie nie pamietam ale zeby instalowac mody byla ona chyba wymagana). Z tego co przejrzalem opcje nawet nie koniecznie musi byc backup – opcje "mount" oraz "read-write /system". Dzieki temu mysle, ze mozna odnalezc konkretny plik. Problem jaki pozostaje to caly czas nie mozemy go odczytac czy pobrac.

    • 123qwe

      Przydalaby sie edycja komentarzy.

      Tak jak mysle nad tym to i tak ten bug jest taki "na sile", jedyne sensowne wykorzystanie jakie widze to podeslac aplikacje, ktora by odczytala ten log i wyslala.. chociaz na cholere wtedy wykradac "mazanie palca" jesli bysmy mieli dostep do o wiele "ciekawszych" rzeczy. Pozatym nawet jakbym mial uzywac ten CWM to bym raczej zrobil full backup i sobie pobral wszystko (sms, gps.. co tam bym jeszcze potrzebowal) a nie sie z jednym logiem piperzyl, tym bardziej, ze do tego trzeba zresetowac telefon co ofiara by napewno zauwazyla (bo pinu juz pewnie nie znamy skoro tak kombinujemy) i zmienilaby sobie "znak".

  • Pingback: News CyanogenMod zapisuje wzór ekranu blokowania()

  • Pingback: Największe wpadki Open Source w 2012 roku - Linux mint, centos, ubuntu - OSWorld.pl - mały świat wielkich systemów!()