CyanogenMod protokolliert Sperrmuster
Ein erstaunter Entwickler hat entdeckt, dass die alternative Android-Firmware eingegebene Wischgesten zur Entsperrung des Smartphones offenbar speichert. Ein kleiner Patch stopft diese Sicherheitslücke.
Die Android-Firmware CyanogenMod protokolliert offenbar die zur Entsperrung des Smartphones verwendeten Wischmuster mit. Das hat ein Entwickler bemerkt und mit einem Mini-Patch abgestellt. CyanogenMod ist eine herstellerunabhängige Firmware für Android-Smartphones. Im August hatte ein Update die vorher auf 3×3 festgelegte Gittergröße für Sperrmuster durch Einführen der Variable PATTERN_SIZE veränderbar gestaltet – und dabei eine Zeile Code eingefügt, die das eingegebene Muster protokolliert.
Über diesen Code ist jetzt Gabriel Castro gestolpert, der seiner Verwunderung darüber ungeniert Ausdruck gibt: "Ich bin echt überrascht, dass das niemand gesehen hat." Das Speichern der Eingabemuster ist in etwa vergleichbar mit dem Mitprotokollieren von Passworteingaben. Beides ist keine direkte Bedrohung, weil man ohne Zugang nicht auf die Log-Dateien zugreifen kann. Aber es ist ein unnötiges Risiko, dass die geheim zu haltenden Daten in fremde Hände geraten – etwa im Rahmen von Sicherungskopien auf dem PC. Castro hat die Logging-Zeile jedenfalls jetzt entfernt und diesen Security-Patch in die Codebasis von CyanogenMod eingefügt. (ju)
