Samsung-låsskärmsomgång har duellerande tredjepartslösningar

Tidigare denna månad rapporterade mobilentusiasten Terence Eden om en fel i låskärmskoden för Samsungs version av Android, en fel som skulle göra det möjligt att ringa upp nummer och köra appar även när telefonen är låst. Senare parlayade han samma teknik till en attack som helt kan inaktivera låsskärmen. Samsung arbetar med en patch, men under tiden vidtar mobila säkerhetsföretag sina egna åtgärder för att skydda användare.

Inga nödsamtal

Fönstret med sårbarhet uppstår när någon öppnar appen I Fall of Emergency (ICE) (som är tillgänglig även när telefonen är låst) och sedan trycker på Hem-knappen. Forskare vid det vietnamesiska säkerhetsföretaget Bkav identifierade ICE som källan till problemet. I ett nyligen inlägg förklarade de: "Felet ligger i det faktum att Samsung-ingenjörer tillåter att ICE startas från fönster för nödsamtal. Det betyder att en normal app (i detta fall ICE) får köras även när telefonen har låsts."

Bkavs lösning är att inaktivera ICE-appen. Med hjälp av den gratis eller kommersiella versionen av Bkav Mobile Security kan användare välja "Anti-lock screen bypass" för att aktivera den här funktionen. Ser du inte det alternativet? Då är inte din telefon en som är sårbar för detta fel.

Bkav-inlägget pekar också på en fix som erbjuds av Lookout, tillverkaren av Editors Choice Lookout Mobile Security, och hävdar att Lookouts fix är ineffektiv. Lookout övervakar ICE-appen och tvingar den i förgrunden om den pressas till bakgrunden av det (korta) utseendet på hemskärmen. Enligt Bkav, "detta är också den felväg som Samsung-ingenjörer åkte på… hemskärmen har redan avslöjats, tillräckligt med tid för onda att komma åt appar där."

Lookout svarar

David Richardson, produktchef bakom Lookouts fix, tror något annat. "Det finns ett antal problem", sade Richardson. "En av dem är att du tillfälligt kan se hemskärmen och eventuellt klicka på en knapp… Sårbarheten som vi skyddar dig mot är mycket värre. Den låter dig helt förbi låsskärmen så att den inte ens kommer att åter- lås om du inte sätter på och sätter på enheten igen."

Richardson påpekade att för en hacker är det faktum att du tillfälligt kan se hemskärmen en aning om att någonting är fel, att du kanske kan parlaya detta glimt till full åtkomst. "Människor har hittat fyra eller fem sätt att kringgå låsskärmen hittills. Vi skyddar mot de allvarligaste, men det finns förmodligen fem till som ännu har upptäckts.

En annan strategi

"Vi utforskade tillvägagångssättet de implementerade, " sade Richardson, "men vi tyckte det var för påträngande, inte något vi kunde driva ut till 35 miljoner användare." Han fortsatte att notera: "Om vi ​​hindrade ens en person från att ringa ett nödvändigt nödsamtal är det väldigt sämre än någon sårbarhet. Istället skyddar vi majoriteten från den mest kritiska risken som är permanent förbikoppling av låsskärmen."

Richardson påpekade att Bkav-lösningen kräver aktivt deltagande av användaren. "Om vi ​​skulle göra det, måste vi be om bekräftelse för att inaktivera ICE, " sade Richardson. "Vi skulle inte bara vidta åtgärder, men vi vill skydda användare som aldrig ens hört talas om denna sårbarhet."

I slutändan, sade Richardson, "Samsung måste fixa det grundläggande problemet. Användare bör leta efter den korrigeringen - vi kommer att låta dem veta när den är tillgänglig. Och vi ska skydda dem under tiden."

Som svar på en tidigare fråga från SecurityWatch sa Samsung: "Samsung anser användarnas integritet och säkerheten för användardata som högsta prioritet. Vi är medvetna om det här problemet och kommer att släppa en lösning så snart som möjligt."

Kom också ihåg att ingen kan bryta sig in i din telefon med den här tekniken medan telefonen ligger säkert i fickan eller handväskan. Det finns mycket att säga för vanlig gammal fysisk säkerhet.