اكتشف باحثون أمنيون ثغرة في هواتف أندرويد التي تعمل بالإصدار 5.0 (لوليبوب) تتيح فتح قفل الجهاز باستخدام كلمة مرور طويلة للغاية.
وأثبتت الثغرة -التي اكتشفها باحثون من جامعة تكساس في مدينة أوستن الأميركية- فاعليتها في نحو 21% من هواتف أندرويد التي استخدمت، ولم تتطلب من المهاجم سوى إنهاك شاشة القفل بنص طويل للغاية.
وتؤثر الثغرة فقط على الأشخاص الذي يستخدمون هواتف ذكية تعمل بالإصدار 5.0 أو ما يليه من نظام التشغيل أندرويد التابع لشركة غوغل، ومحمية بكلمة مرور، لكنها لا تؤثر في الأجهزة المحمية برقم تعريف شخصي (PIN) أو نمط.
ولا يحتاج المهاجم سوى إدخال نص كاف في حقل كلمة المرور لإنهاك شاشة القفل والتسبب بتوقفها عن العمل، مما يؤدي للدخول إلى الشاشة الرئيسية ووصول كامل إلى الجهاز، سواء كان مشفرا أم لا.
وقال الباحث جون جوردن "عن طريق التلاعب بسلسلة كبيرة بما فيه الكفاية في حقل كلمة المرور عندما يكون تطبيق الكاميرا نشطا فإن المهاجم سيتمكن من زعزعة استقرار شاشة القفل والتسبب بتوقفها والانتقال إلى الشاشة الرئيسية".
وقد أطلقت غوغل أمس الأربعاء إصلاحا أمنيا للثغرة لسلسلة أجهزة نيكسوس التابعة لها، ووصفت الثغرة بأنها "معتدلة" الشدة، وأكدت أنه لم يتم -حسب علمها- حتى الآن استغلالها من قبل المهاجمين.
وينتشر في العالم نحو مليار هاتف أندرويد، يعمل 20% منها بالإصدار لوليبوب، أحدث إصدار من نظام أندرويد، ولذلك يجب على مستخدمي أحد تلك الأجهزة تحديث النظام لديهم بمجرد طرحه من الشركة المصنعة للجهاز.
يشار إلى أن هذه الثغرة تتطلب أن يصل المهاجم بشكل فعلي للجهاز، إذ إنه من غير الممكن استغلالها عن بعد، ويمكن للمستخدمين الذين يخشون استغلالها تغيير كلمة المرور إلى رقم تعريف شخصي أو نمط.