Android 5.1: Displaysperre lässt sich mit Browser aushebeln
Wer eine Custom ROM nutzt wird für sein Android Smartphone vermutlich schon Android 5.1 Lollipop haben, auch wenn es offiziell vielleicht noch kein Update des jeweiligen Herstellers gibt. Manchmal zeigen solche auch als Aftermarket Firmware bezeichneten ROMs ihre Vorteile, wenn sie nicht unerhebliche Löcher in der Sicherheit schließen.
Bei mehreren Millionen Zeilen Quellcode und sehr komplexen Zusammenhängen, können sich Fehler in der Programmierung schneller einschleichen als einem lieb sein kann. Gerade komplexere Betriebssysteme wie Apples iOS 8 oder Googles Android 5.1 Lollipop zeigen das, denn bei letzterem gibt es ein Problem mit der Sicherheit. Das Witzige an der Sache ist, dass es prinzipiell jede Firmware trifft, unabhängig davon, ob es ein OEM-Update ist oder eine Custom ROM.
Entsperrte Sicherheit für Android 5.1
Der Fehler selbst betrifft die Displaysperre, unabhängig davon, ob man eine Wischgeste nutzt, eine PIN zur Sicherung oder ein Sperrmuster. Betroffen ist grundsätzlich jede Firmware mit Android 5.0 Lollipop oder dem neuen Android 5.1 Lollipop, sobald bestimmte Apps installiert sind. Bisher ist das nur mit dem chinesischen QQ Browser explizit nachweisbar, was nicht heißt, dass auch andere Apps denselben Fehler ausnutzen bzw. auslösen. Zuerst dachte man, dass es sich um einen Fehler speziell bei CyanogenMod 12 handeln würde, da dieser Fehler jedoch auch bei anderen Firmwares der Nexus-Reihe auftaucht, muss er schon im Quellcode von Android 5.1 Lollipop des Android Open Source Projekt vorhanden sein.
Auf einem Samsung Galaxy S4 mit dem installierten Android 5.0 Lollipop Update war der Fehler im Sperrbildschirm nachzuvollziehen, sodass der Fehler wirklich real ist und nicht nur eine Erfindung. Zumindest in gewisser Weise ist er nachvollziehbar, sofern ein paar Dinge gewährleistet sind: Eine App mit einem aktiven Lockscreen-Widget und ein jederzeit erreichbarer Task-Manager zum beenden der auslösenden App. In einem Fehlerbericht für CyanogenMod 12 auf Basis von Android 5.1 Lollipop sind die genauen Schritte erklärt, bzw. im folgenden Video zu sehen:
[youtube]https://www.youtube.com/watch?v=Y1iYv-CZfaE[/youtube]Insofern ist davon auszugehen, dass mit dem Release von dem ersten Mini-Update für Android 5.1 Lollipop dieser Fehler im System geschlossen wird und das als Update möglichst schnell von OEM-Partnern Googles bereitgestellt wird. Das HTC One M7 beispielsweise wird das Update definitiv nicht mehr erhalten (zum Beitrag). Es sei denn, HTC verteilt selbst zusammen mit HTC Sense 7 eine eigene Implementation, um diesen Fehler von Android 5.1 Lollipop aus der Welt zu schaffen.
