Dass Smartphones nicht gerade so gut geschützt sind, wie der Fort Knox, stellt kein großes Geheimnis dar. Immer wieder stoßen Sicherheitsforscher auf Lücken im Code, die das gesamte System kompromittieren können. Doch diese sind selten so gefährlich, wie eine aktuelle Sicherheitslücke, die unter der Nummer „CVE-2022-20465“ bekannt ist. Denn diese ermöglicht es jedem, der physischen Zugriff auf dein Handy hat, den Sperrbildschirm innerhalb weniger Sekunden zu umgehen. Und zwar gänzlich ohne Kenntnisse der Informatik.
Smartphones selbst entsperren – leicht gemacht
Der Sicherheitsforscher David Schütz ist im Juni 2022 per Zufall auf eine Sicherheitslücke gestoßen, die ihresgleichen sucht. Denn mit ihrer Hilfe lassen sich alle Pixel-Smartphones – möglicherweise auch die Geräte anderer Hersteller ab Android 10 – entsperren. Ein Passwort? Nicht notwendig. IT-Kenntnisse? Überflüssig. Alles, was man benötigt, ist eine beliebige SIM-Karte.
Denn wie Schütz herausfand, entsperren Pixel-Geräte das Smartphone ohne PIN-Eingabe, sobald man die PUK der SIM-Karte richtig eintippt. Zwar werden Mobiltelefone oftmals auch mittels biometrischer Daten wie eines Fingerabdrucksensors gesichert, doch bei mehrmaliger falscher Eingabe wird diese Methode vorübergehend ge- und das Handy folglich entsperrt.
Dieses Element von Youtube kann auf dieser reduzierten Version der Webseite nicht dargestellt werden.
jetzt ansehenGoogle reagiert träge und ein Haken bleibt
Obgleich Schütz seinen Fund zeitnah mit Google teilte, dauerte es etwa fünf Monate, bis die Sicherheitslücke behoben wurde. Ein Fix wurde vor wenigen Tagen mit dem November-Sicherheitspatch veröffentlicht. Dennoch verbleiben einige Smartphones ungeschützt. Denn Sicherheitspatches werden nur eine begrenzte Zeit lang verbreitet. Ist dein Mobiltelefon älter als X Jahre, bleibt die Lücke offen und deine Daten angreifbar. Das gilt bei Pixel-Geräten beispielsweise für das Pixel 4 und das Pixel 4 XL. Sicherheitsupdates für die beiden im Oktober 2019 eingeführten Smartphones wurden im Oktober 2022 eingestellt. Und das Gleiche gilt auch für alle älteren Pixel-Modelle.
Und wieso ist das nun so wichtig?
Smartphones beherbergen mittlerweile mehr brisante Daten als ein Computer. Und damit sind weniger Nacktfotos gemeint, sondern Online-Banking-Daten, eingeloggte Amazon-Konten, vertrauliche Konversationen und vieles mehr. Zudem kommen Handys oftmals im Rahmen der sogenannten Zwei-Faktor-Authentifizierung (2FA) zum Einsatz. Wer Zugang zu deinem Smartphone hat, kann unter Umständen also auch deine anderen Accounts knacken. Und das Gleiche gilt auch für zahlreiche weitere Konten, in denen eine E-Mail-Adresse als Wiederherstellungs-E-Mail eingetragen wurde, zu der die „Hacker“ nun ebenfalls Zugriff haben.