image

Schermvergrendeling Elephone P9000 door lek te omzeilen

vrijdag 30 juni 2017, 10:57 door Redactie, 2 reacties

Een beveiligingslek in de Elephone P9000 maakt het voor een aanvaller mogelijk om de schermvergrendeling te omzeilen en toegang tot het toestel te krijgen en een update is nog niet beschikbaar. De meeste smartphones beschikken over beveiligingsmaatregelen om te voorkomen dat gebruikers eindeloos pincodes kunnen proberen. Zo zijn er toestellen die na 10 mislukte inlogpogingen alle gegevens wissen of een 'lockout' toepassen.

De gebruiker moet dan wachten voordat er een pincode kan worden ingevoerd. In het geval van de P9000 blijkt er een logische kwetsbaarheid in de schermvergrendeling te zitten waardoor het mogelijk is om continu pincodes of wachtwoorden te proberen, zonder dat er een lockout plaatsvindt of dat alle gegevens worden gewist. Normaliter voert een gebruiker een pincode in en moet dan op een knop klikken. Na vijf mislukte pogingen moet de gebruiker 30 seconden voor de volgende poging wachten en wanneer ingesteld zullen alle gegevens na tien mislukte pogingen worden gewist.

De fout in de P9000 bevindt zich in de automatisch inlogfunctie. Als de correcte pincode is ingevoerd wordt de gebruiker automatisch ingelogd en hoeft nergens meer op te klikken. Dit is een logische kwetsbaarheid. Een aanvaller kan namelijk een pincode proberen en als hij niet automatisch wordt ingelogd de code via backspace verwijderen en vervolgens een nieuwe poging wagen, zonder dat er een lockout plaatsvindt. Een pincode van vier cijfers is zodoende in minder dan 16 minuten te achterhalen.

Een pincode van vijf cijfers sneuvelt binnen drie uur en voor een zescijferige pincode is iets meer dan een dag nodig. Onderzoekers van beveiligingsbedrijf Trustwave waarschuwden Elephone, maar kregen geen enkele reactie van de fabrikant. Aangezien er geen update beschikbaar is krijgen gebruikers het advies om een wachtwoord in te stellen. De logische kwetsbaarheid is dan nog steeds aanwezig, alleen zal het bij een lang wachtwoord meer tijd kosten om succesvol een bruteforce-aanval uit te voeren.

Image

Reacties (2)
30-06-2017, 11:12 door Anoniem
Wat verwacht je dan? Het is dan ook geen volwaardige Telephone.
02-07-2017, 00:37 door Anoniem
Door Anoniem:
Wat verwacht je dan? Het is dan ook geen volwaardige Telephone.
Wat is de toegevoegde waarde van de CODE tag te gebruiken in al je reacties?
Voel je je dan een 1337 hacking security expert?
Proest!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.