Im Rahmen seiner monatlichen Patch Days schließt Google Monat für Monat eine Fülle an Sicherheitslücken unterschiedlichen Schweregrads. Wie sich nun herausstellt, war darunter in den letzten Monaten auch eine, mit der sich die Passwortsperre des Nexus 5X vollständig aushebeln ließ.

Details

In einem aktuellen Blogeintrag gehen die Forscher von IBMs X-Force-Team, welche das Problem aufgespürt haben, auf die Problematik ein. Ein Fehler im Bootloader ließ sich dazu ausnutzen, eine serielle Verbindung über den USB-Port aufzubauen und infolge den vollständigen Speicherinhalt des Geräts auszulesen.

Voraussetzung dafür war allerdings das vorherige Versetzen in den Fastboot-Modus, in dem keine Android-Apps laufen. Dies ist allerdings nur ein schwacher Trost, mit vollem Speicherzugriff lässt sich nämlich auch hier das Passwort für die Lock-Screen-Sperre aufspüren. In Folge könnte sich ein Angreifer dann einfach auf dem Gerät einloggen und auf alle Daten zugreifen.

Update

IBM hat die Lücke direkt nach dem Aufspüren an Google gemeldet. Der Android-Hersteller hat das Problem dann mit dem März-Update geschlossen. Mittlerweile sollten also alle Nexus-5X-User bereits länger vor dem Problem geschützt sein. (apo, 4.9.2016)