Con la gran cantidad de información personal que se guarda día a día en los smartphones es muy importante protegerlo correctamente para evitar que usuarios no autorizados puedan lograr acceder a ella. De esta forma, en caso de pérdida o robo, el usuario no podrá acceder al dispositivo ni a la información guardada en él salvo que realice un reseteo de los valores de fábrica, eliminando durante el proceso toda la información privada que el usuario original guardaba en él.
Las formas más habituales de proteger un smartphone con Android son mediante un patrón, un código PIN o una contraseña, de menos a más complicado de adivinar. Mientras que un patrón puede ser adivinado fácilmente simplemente mirando el dispositivo a contraluz para ver la huella de la pantalla, una contraseña es muy compleja, siendo casi imposible adivinarla si no se tienen indicios de ella.
Un grupo de investigadores de seguridad han descubierto un fallo en la pantalla de bloqueo de Android que permite acceder al sistema completa saltándose esta pantalla de bloqueo cuando está configurada con una contraseña de acceso.
La forma de explotar este fallo es muy sencilla. Desde la pantalla de bloqueo protegida con la contraseña debemos abrir la aplicación de llamadas de emergencia. Allí debemos teclear un código, lo más largo posible, que utilizaremos para después forzar el desbloqueo. Para ello podemos, por ejemplo, escribir 10 asteriscos y copiarlos / pegarlos varias veces hasta que no quepan más dígitos en el marcador, para copiar así el código resultante.
Una vez tengamos el código más largo copiarlo en el portapapeles volvemos a la pantalla de bloqueo y abrimos la aplicación de cámara que, por defecto, podemos utilizar sin necesidad de la contraseña. Desde la cámara abrimos el menú de la parte superior para acceder al apartado «Ajustes del sistema», donde nos pedirá automáticamente la contraseña de desbloqueo.
Aquí debemos pegar (probablemente varias veces) el código de asteriscos que hemos guardado anteriormente. Tras dos o tres veces que peguemos el código (según lo largo que lo hayamos copiado por primera vez en el portapapeles) Android nos devolverá un error, se cerrará la cámara y la pantalla de bloqueo y automáticamente estaremos dentro del sistema, con acceso completo a todos los archivos y todas las aplicaciones de él.
En caso de volver a bloquear el dispositivo (por ejemplo por el paso del tiempo) simplemente debemos volver a repetir el proceso para volver a forzar el desbloqueo.
A continuación os dejamos un vídeo donde muestran el proceso paso a paso.
Desde Google han confirmado que son conscientes del fallo y que ya lo han solucionado, llegando así la solución a los dispositivos Nexus mediante un parche convencional. Los usuarios de dispositivos fabricados por otras compañías deberán esperar a que estas publiquen los correspondientes parches para poder solucionar esta vulnerabilidad. Mientras tanto es recomendable el uso de un código PIN como método de desbloqueo que, por el momento, parece lo más seguro.
¿Crees que Google debería revisar mejor este tipo de acciones para garantizar la seguridad de sus usuarios?
Quizá te interese:
- Lockerpin, un ransomware para Android capaz de cambiar el PIN del dispositivo
- Analiza archivos en VirusTotal desde un smartphone Android
- Hacen público el código del exploit que aprovecha la vulnerabilidad Stagefright en Android