Notícias

ALERTA: É possível aceder ao Android sem saber o código

78 Comentários

É raro o dia em que não apareça uma noticia sobre uma qualquer vulnerabilidade no Android. Nos últimos meses temos informado de alguns aplicações, fora do Google Play, que conseguem fazer alterações ao nível do sistema mas a vulnerabilidade que é relativamente fácil de explorar até porque não é preciso qualquer aplicação de terceiros.

Veja quais os passos que foram descobertos para conseguir fazer bypass lock screen.

hacked


A vulnerabilidade agora descoberta funciona apenas em algumas versões do sistema operativo Android. Esta falha de segurança do sistema, que foi descoberta por investigadores da Universidade do Texas, permite que qualquer pessoa mal intencionada possa fazer o bypass do lock screen e assim ter total acesso ao dispositivo. De salientar no entanto que para que tudo funcione o equipamento deve ter configurada uma password e não um pattern / pin.

Android

De acordo com os investigadores, esta falha pode ser explorada no Android 5.0 até ao Android  5.1.1 “LMY48M”.

Veja o vídeo seguinte para perceber como é feito o bypass

Para quem pretender experimentar no seu dispositivo, o processo está todo documentado, passo por passo, aqui.

Via University of Texas security blog

PUB
Autor: Pedro Pinto
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Análise: Lenovo YOGA Tablet 2 com Windows
Artigo anterior

Análise: Lenovo YOGA Tablet 2 com Windows
Ministério da Defesa Italiano adopta o LibreOffice em 150 mil PCs
Próximo artigo

Ministério da Defesa Italiano adopta o LibreOffice em 150 mil PCs
PUB

Comentários

78

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de luis
    luis

    *grabs popcorn*

    Responder
    1. Avatar de NokTham
      NokTham

      bem, isto hoje é sempre a bombar, hahahah

      Responder
  2. Avatar de Carlos Alberto
    Carlos Alberto

    iDonkeys em 3, 2, 1 …

    Responder
  3. Avatar de LG
    LG

    LG G3 com Android 5.0 não consigo no ponto 2 selecionar o texto…

    Responder
    1. Avatar de Woot!
      Woot!

      Igual no KitKat Cyanogenmod, mas mesmo a colocar os digitos manualmente não tenho qualquer crash.

      Responder
      1. Avatar de leinad
        leinad

        clica duas vezes | double-tapping |

        Responder
        1. Avatar de LG
          LG

          Também não da

          Responder
        2. Avatar de Woot!
          Woot!

          Não dá.

          Responder
  4. Avatar de Antonio Gouveia
    Antonio Gouveia

    Não é reproduzido no Xperia Z2.

    Responder
  5. Avatar de sniperpt
    sniperpt

    Mais um que irá ser corrigido por uma fatia de equipamentos. Quando a versao tiver cota perto de 20% deve estar a versao 7 a sair. Isto ade continuim sem a gg se preocupar.

    Responder
    1. Avatar de Rui
      Rui

      A grande maioria não será afectada pois são as versões mais recentes… Como sabemos que normalmente não há actualizações, a maioria está a salvo 😀

      Responder
      1. Avatar de Concept
        Concept

        Mas os aparelhos que forem lançados nesta versão, é bem provável que fiquem com o bug para sempre… Claro que com ROM’s pode se corrigir isso mas a maioria dos consumidores não percebe nada disso.

        Responder
  6. Avatar de Rui
    Rui

    Afinal sempre existem vantagens em não ter actualizações 😀

    Responder
    1. Avatar de Realista
      Realista

      Mesmo!

      Responder
    2. Avatar de Mota
      Mota

      Afinal existem sempre vantagens em ter fanboys por aqui! 😀
      Fazem a malta rir.

      Responder
      1. Avatar de Rui
        Rui

        Porquê? Não foi uma piada, foi uma constatação de que afinal há vantagens em não ter o SO actualizado… Tenho aqui em cima da mesa um Android 4.2 que como não tem updates, nem os prometidos nem nada, não tem esta falha.

        Responder
    3. Avatar de Prim
      Prim

      😀

      Responder
  7. Avatar de Gualter
    Gualter

    No meu LG G2 não consigo seleccionar o texto (ponto 2)

    Responder
    1. Avatar de João MS
      João MS

      No meu Xperia SP também não permite.

      Responder
  8. Avatar de David Guerreiro
    David Guerreiro

    Como Moto G Android 5.1 não funciona

    Responder
  9. Avatar de g0tH1c.X
    g0tH1c.X

    No OnePlus One com a 5.1.1 oficial não funciona…:)

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Provavelmente por causa disto: De salientar no entanto que para que tudo funcione o equipamento deve ter configurada uma password e não um pattern / pin.

      Responder
      1. Avatar de gariso
        gariso

        o que diz o original é que só há quebra de código com password e não com pin

        Responder
      2. Avatar de k
        k

        Desculpa, mas estavas a responder a outra pergunta? O OnePlus tem a opção de bloquear com uma password 🙂

        Também testei no meu OnePlus, rom baseada na COS12 oficial (sultanxda). Nem sequer é um possibilidade isto funcionar. Não tenho app da câmara default que ele usa no video e não tenho atalhos no lockscreen.

        Mas configurei de forma a experimentar. Uso a snapdragon camera e o telefone pede-me a password quando a tento abrir a partir daí. Forçar a password aqui não adiantou.

        A primeira coisa que faço com os meus lockscreens é tirar tudo que é atalho. Para mim lockscreen é lockscreen, não é launcher/homescreen/appdrawer. O lockscreen foi criado exactamente para evitar correr aplicações/chamadas por acidente (no bolso etc), ter apps aqui derrota o próprio conceito.

        Fiquei admirado com a extensão do video e ao que as pessoas se dão ao trabalho de fazer. Por acaso resultou em descobrir um bug mas eu nunca me ia lembrar de fazer o que este sujeito fez (demasiado tempo livre? 😛 )

        Responder
  10. Avatar de Realista
    Realista

    Ainda dizem mal do Windows Phone… LOL

    Responder
    1. Avatar de Mota
      Mota

      Que tem o WP a ver com o post?

      Viste aqui alguém a falar mal do WP? Onde é que andam os moderadores quando são precisos…

      Responder
      1. Avatar de Brasão SS
        Brasão SS

        Tu é que precisas de ser moderado rapaz!

        Responder
  11. Avatar de leinad
    leinad

    eu tenho essa versão e não funciona cmg isto porque quando tento aceder à camera pelo lockscreen, ele pede sempre a pass antes 😀

    Responder
  12. Avatar de Pedro Pinheiro
    Pedro Pinheiro

    É mais fácil tirar um curso superior do que explorar essa falha, e em alguns casos mais rápido… 🙂

    Responder
    1. Avatar de Carlos Alberto
      Carlos Alberto

      se for ao domingo então nem precisas de lá ir 🙂

      Responder
  13. Avatar de TeAr
    TeAr

    Mais um queijo suiçoooooooooooooo….

    Responder
  14. Avatar de Manuel
    Manuel

    vamos la falar mal do Android mais umaq vez

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      “Vamos lá esconder a cabeça na areia mais uma vez” – mas é escusado. Já toda a gente percebeu que o problema não está no aparecimento das vulnerabilidades, está em corrigi-la.

      – “The vulnerability has been fixed in the “LMY48M” Android 5.1.1 build Google released last week for the Nexus 4, 5, 6, 7, 9, and 10.

      – But as most people know, it can take months or years for updates to hit the masses, and some devices never receive security patches. Indeed, neither of the Nexus 5 phones this Ars reporter uses have received the over-the-air build update from last week.”

      Agora esta é lixada – por sorte atinge pouca gente porque o Android 5 e 5.1 abrange pouca gente 😉

      http://arstechnica.com/security/2015/09/new-android-lockscreen-hack-gives-attackers-full-access-to-locked-devices/

      Responder
      1. Avatar de El Comandante
        El Comandante

        Tu já disseste mais que uma vez, não te canses este pessoal não entende o fraco que é o Android. Não se entende que uma empresa como a google com tantos milhões não arranje bons programadores… Os bons programadores no mundo inteiro é muito limitado só pode e a Apple contrata-os todos.

        Continua assim Benchmark do iPhone 6, tens de ser tudo ajudar esta gente, porque o resto do pessoal tem mais que fazer.

        Cumprimentos

        Responder
        1. Avatar de Benchmark do iPhone 6
          Benchmark do iPhone 6

          Digo sempre o mesmo e ficou mais uma vez provado:

          – A Google já tem o patch – já lançou a actualização para os Nexus. Já repeti vezes sem conta – se comprarem Android comprem Nexus

          – Os outros ficam sujeitos ao processo de actualização Google-fabricantes-operadores (se estes também tiverem mexido no Android) em que – diz a Artechnica, digo eu e todos os que não têm a cabeça enterrada na areia – a correção da vulnerabilidade demora meses a chegar aos equipamentos, se chegar.

          O problema não está nos programadores da Google que, como os da Apple encontram as correcções das vulnerabilidades – está no sistema das actualizações do Android (com excepção dos Nexus).

          Escusas de te fazer de desentendido 😉

          Responder
          1. Avatar de El Comandante
            El Comandante

            Mas se comprassem iPhone evitavam estes problemas, não venhas com tangas os programadores da Apple são os melhores.

            Eu sei que estas a tentar tapar os olhos ao pessoal para que pensei que o Android é best, mas tu sabes bem que não, temos de ser realistas.
            As verdades tem de ser enfrentadas.

      2. Avatar de SSaraiva
        SSaraiva

        Ainda hoje recebi atualização no Nexus 5 …

        Responder
  15. Avatar de Luís Nabais
    Luís Nabais

    LG G2, Android 5.0.2 original da LG, não é possível fazer isso, não dá para seleccionar texto a partir do dialer, quando é usado pelo ecrã de chamadas de emergência. No dialer normal com o telefone já desbloqueado é possível, como seria de esperar.

    Responder
  16. Avatar de rui
    rui

    Eu estou mais que a salvo disto e tenho Android. 🙂 Continuem a comentar com coisas a falar mal de Android só por lerem o título. Se lerem o artigo até ao fim vão perceber que nem 10% de toda a malta que usa Android a nível mundial está afectada por isto (se calhar nem 5% ou 2%. É só ir ver qual a percentagem de quem utiliza aquelas versões).

    Responder
  17. Avatar de =)
    =)

    Não é possível reproduzir o bug no meu LG G2. Nem sequer dá para fazer copy /paste no número.

    Responder
  18. Avatar de david.pt
    david.pt

    Não funciona no meu

    Responder
    1. Avatar de david.pt
      david.pt

      …cyanogenmode OnePlus One

      Responder
  19. Avatar de Philip
    Philip

    Na minha Rom 5.1.1 não funciona,e sim tenho uma password 🙂

    Responder
  20. Avatar de Mota
    Mota

    CVE-2015-3860

    Cognome das falhas certo? Lembro-me que o stagefright tem um nome idêntico.

    Responder
  21. Avatar de André Alves
    André Alves

    As passwords são menos seguras no Android

    Responder
  22. Avatar de LG G3
    LG G3

    No meu LG G3 com o 5.0 não é possível fazer no ponto 2 “seleccionar texto. E sim tenho tenho uma password…

    Responder
  23. Avatar de Benchmark do iPhone 6
    Benchmark do iPhone 6

    O passo 2 – copiar/colar para duplicar o número de caracteres não é possível em certos equipamentos – porque não permitem copiar/colar.

    Mas o passo 2 – copiar/colar (10 vezes) é para evitar estar a digitar os caracteres – digitando o mesmo número de caracteres o efeito é o mesmo, mas bastante mais trabalhoso.

    Quando dizem “não dá” (com password , ou seja não usando padrão nem pin) – não dá porque não copia/cola, ou porque mesmo copiando/colando “não dá”?

    http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/

    Responder
    1. Avatar de El Comandante
      El Comandante

      Tu já disseste mais que uma vez, não te canses este pessoal não entende o fraco que é o Android. Não se entende que uma empresa como a google com tantos milhões não arranje bons programadores… Os bons programadores no mundo inteiro é muito limitado só pode e a Apple contrata-os todos.

      Continua assim Benchmark do iPhone 6, tens de ser tudo ajudar esta gente, porque o resto do pessoal tem mais que fazer.

      Cumprimentos

      Responder
  24. Avatar de LuisLuis
    LuisLuis

    No BQ E5 nao consegui na parte do swipe para as definiçoes colar o texto.

    Responder
  25. Avatar de Eugéniu
    Eugéniu

    No meu S4 I9505 com CM12 5.1.1 também não funciona, está tudo ok! 😀

    Responder
  26. Avatar de gariso
    gariso

    a tradução do artigo original está errada e incompleta. Para que haja a quebra do código, o «hacker» tem de ter acesso físico ao telefone e a câmara fotográfica tem de estar activa.

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      🙂

      Responder
  27. Avatar de Helder
    Helder

    Leram bem a noticia?
    “Nos últimos meses temos informado de alguns aplicações, fora do Google Play, que conseguem fazer alterações ao nível do sistema”.

    as aplicações que forem instaladas fora da Google Play é que são susceptíveis a esta situação.

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      Neste caso, não tem nada a ver com instalar aplicações, do Google Play ou doutro sítio qualquer. Leste mal a notícia.

      Responder
  28. Avatar de JM
    JM

    Não era o super OS ??? LoooOooooOOooOOOL

    Responder
  29. Avatar de Miguel Ribeiro
    Miguel Ribeiro

    Eu tenho um Nexus 5, portanto a bateria acaba antes de conseguirem explorar a falha.

    Responder
  30. Avatar de Carlos Alberto
    Carlos Alberto

    Timeline:

    2015-06-25: Vulnerability reported privately to Android security team.
    2015-07-01: Android confirms vulnerability can be reproduced, assigns LOW severity issue.
    2015-07-15: Android promotes issue to MODERATE severity.
    2015-08-13: Android commits a patch to fix vulnerability.
    2015-09-09: Android releases 5.1.1 build LMY48M containing fix.
    2015-09-14: Android marks issue public.
    2015-09-15: UT ISO publishes this writeup.

    Confirmo que no meu isto não acontece

    Responder
  31. Avatar de chicosoft
    chicosoft

    parece um pouco tendencioso nao?

    “É raro o dia em que não apareça uma noticia sobre uma qualquer vulnerabilidade no Android. ”

    podias ter dito é raro o dia em que nao apareca uma vulnerabilidade…

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      …apareça uma vulnerabilidade, (vírgula) sendo as do Android, dia sim, dia sim – saindo a respectiva correcção, para os Nexus, em pouco tempo, para alguns, daí a uns meses e, para a generalidade, no dia de São Nunca, à tarde.

      Responder
      1. Avatar de Nuno Silva
        Nuno Silva

        É uma vulnerabilidade tão grave que ainda não ouvi ninguém aqui a dizer que no deles acontece. (e não são Nexus).

        Responder
    2. Avatar de Safrane
      Safrane

      Não é tendencioso… É a quantidade de vulnerabilidades que há para android

      Responder
  32. Avatar de Nuno Silva
    Nuno Silva

    Ainda não vi ninguém a dizer por aqui que no deles funcionou. 🙂

    Responder
    1. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      A Google lançou a correção da vulnerabilidade para os Nexus apenas para se divertir – não era por a vulnerabilidade ser real e poder ser explorada.

      Cada avestruz 😉

      Responder
      1. Avatar de Pigo's
        Pigo’s

        e tu és cá um tanso!

        Responder
      2. Avatar de iBend
        iBend

        pergunto s estes tipos d comentários insultuosos são permitidos? o smile é para ser engraçado?

        Responder
        1. Avatar de Prim
          Prim

          Não conheces o benchmark? Vai iludindo os moderadores com uns smiles e outras técnicas mais ou menos subtis e vai gozando com o pessoal, mas se alguém lhe fizer o mesmo relincha logo.

          Responder
        2. Avatar de Cenas
          Cenas

          Desde que em regra geral fales bem da Apple, deixam-te dizer tudo, ao contrário é que já não.

          E como já toda a gente sabe, o Benchemark enquadra bem no padrão dos ISheeps 🙂

          Responder
  33. Avatar de The One
    The One

    Bem, nada de preocupações, pelos comentários ninguém conseguiu fazer o bypass. 🙂

    Responder
  34. Avatar de Safrane
    Safrane

    Bugs no Android, é como fart apps na loja da Google, só que mais…

    É assim vai ficar, com o bug até vocês comprarem um telemóvel novo…

    Mas a Google diz-via que como têm o Google Play Services, que não vai ter bugs, e toda a gente recebe updates…

    Responder
  35. Avatar de Paulo
    Paulo

    confirmado, funciona no nokia 3310

    Responder
  36. Avatar de Lopes
    Lopes

    Zenfone 2 ZE551ME nem o copy past dá!
    cá pra mim cheira me a estudos encomendados.

    Responder
  37. Avatar de Lopes
    Lopes

    Se calhar os investigadores devem ter alterado esses equipamentos para chegar a essa conclusão.

    Responder
  38. Avatar de UiUi
    UiUi

    Não consigo fazer. Tenho um Lumia 640. Ajudem-me. 😉

    Responder
    1. Avatar de Nuno Silva
      Nuno Silva

      LooL

      Responder
  39. Avatar de LG
    LG

    Quem conhecer o canal EverythingApplePro no youtube encontra la muitos bypass… Pergunto me se no WP também ja se encontrou maneiras…?

    Responder
  40. Avatar de rmcrys
    rmcrys

    Samsung Note 3 e 4 com 5.0.2/5.1.1: não é possível copiar nem reproduzir o erro.

    Responder
  41. Avatar de TOTILMAN
    TOTILMAN

    Perdi a pica de ver o vídeo só pelo raio da pub :s

    Responder
  42. Avatar de Prim
    Prim

    Mas alguém já conseguiu reproduzir aquilo??

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.