Una falla en Android Lollipop permite desbloquear el telefono sobrecargando la contrasena
Un bug ha sido, nuevamente, encontrado en Android Lollipop, en este caso se trata de uno que permite a cualquier persona en posesión de un teléfono Android Lollipop desbloquear el dispositivo sin pasar por la pantalla de bloqueo tan sólo usando una contraseña muy larga.
La vulnerabilidad, descubierta por investigadores de la Universidad de Texas en Austin, afecta potencialmente al 21% de los dispositivos Android en uso y requiere de un atacante que simplemente debe sobrecargar el la pantalla de bloqueo con mucho texto. El error sólo afecta a aquellos usuarios con smartphones con Android Lollipop de Google que estén utilizando una contraseña para proteger sus dispositivos -los PIN o patrones de desbloqueo no se ven afectados-.
El atacante sólo necesita introducir suficiente texto en el campo de la contraseña para abrumar a la pantalla de bloqueo y hacer que se bloquee, revelando la pantalla de inicio y el acceso completo al dispositivo, ya sea encriptado o no. John Gordon, de la Universidad de Texas, ha dicho al respecto: «Mediante la manipulación de una cadena de texto lo suficientemente grande en el campo de la contraseña cuando la aplicación de la cámara esté activa un atacante es capaz de desestabilizar la pantalla de bloqueo, provocando que se bloquee la pantalla de inicio».
Los investigadores demostraron el ataque en un Google Nexus 4, mediante la función de llamada de emergencia para copiar cientos de caracteres en el portapapeles. Mediante el uso de la cámara, los ajustes del menú desplegable llevan a la pantalla de ingreso de contraseña donde pegar el largo texto en el cuadro de contraseña provocando que se bloquee.
Estos dispositivos requieren una actualización de software para solucionar el error, pero los usuarios tendrán que confiar en el fabricante del teléfono en cuestión y en su operador de telefonía móvil para recibir dicha actualización, en lugar de en Google directamente. El ataque requiere acceso físico al smartphone o tablet, y no se puede realizar de forma remota. Los usuarios preocupados por el ataque pueden cambiar sus preferencias de bloqueo de pantalla a un patrón de desbloqueo o código PIN, que puede tener hasta 16 caracteres de longitud, en lugar de una contraseña.