Achtung PIN Bug in Android Lollipop (5.X)

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Guten Abend,

    leider habe ich eine schlechte Nachricht für die die ihr Android Gerät mit einer PIN schützen (dürfte nur Android Lollipop Nutzer betreffen).

    Folgendes habe ich heute selbst festgestellt.

    Wir gehen jetzt mal davon aus das unser Gerät mit der PIN 1234 (als Beispiel) geschützt ist.
    Da ich mir angewöhnt habe Bedienelemente nicht richtig zu berühren ist mir heute aufgefallen das sich Android auch mit 3 Zahlen statts allen 4 zufriedengibt und als Krönung kommt hinzu das man diese nichtmal in der richtigen Reihenfolge eingeben muss, z.B. reicht es vollkommen aus wenn wir statts 1234 auch nur 123 oder 234 eingeben, machbar ist auch 2314 oder 4321. Android reicht es vollkommen aus wenn 3 Zahlen vorhanden sind und das egal in welcher Reihenfolge.

    Ich bitte euch dies mal Nachzustellen, da ich davon ausgehe das es nicht nur mein Nexus 4 betrifft sondern jedes Gerät mit Android Lollipop (5.X).

    Alt Gerät: LG Google Nexus 4 16GB OS: Android 5.1.1 Root Kernel: Stock Recovery: TWRP
    Neu Gerät: bq Aquaris M5 32GB/3GB OS: Android 5 Kernel: Stock Recovery: Stock

    Threema-Version: 2.51 (241)

  • Diesen Bug konnte ich auch nicht feststellen, aber in diesem Zusammenhang ist mir was aufgefallen:

    Ich habe den PIN-Schutz in Threema aktiviert, habe die PIN zum entsperren eingegeben, aber noch nicht mit "Enter" bestätigt. Da bemerkte ich, dass die letzte Ziffer nicht durch einen Punkt ersetzt wird, alle Vorgänger jedoch schon. Dann habe ich die letzte Zahl gelöscht und siehe da, aus dem vorletzten Punkt wird wieder die Zahl (analog verhält es sich mit allen Vorgängern). Will heißen die Zahlen werden nicht irreversibel durch Punkte ersetzt und man kann so durch Löschen die gesamte PIN in Erfahrung bringen.

    Hatte den Support Anfang Februar darauf hingewiesen, in der aktuellen Android-Version 2.2 (198) besteht dieser Fehler weiterhin (gut war auch relativ knapp vor dem aktuellen Release).

    Getestet auf:
    Galaxy Nexus (CM11) und Nexus 4 (5.0.1 Stock).

  • Hast du schönes getestet ob es in anderen Apps auch geht? Passwort vom Emailaccount? Ich glaube in Android 4.4 habe ich das auch schnell gesehen. Somit ist besser nach zu vollziehen ob du richtig tippst.
    Schau mal unter Sicherheit bei Sichtbar machen von Passwörtern.

    Edit :
    Wenn ich die Einstellung aktiviere, ist der letzte Buchstabe beim eintippen sichtbar. Wenn ich den letzten lösche, bleiben die anderen unsichtbar.

    Einmal editiert, zuletzt von SvenFFM (27. Februar 2015 um 05:47)

  • Ich hatte es mit der System-PIN ausprobiert, da ich sichergehen wollte das es sich nicht um einen Fehler in Android handelt und dort tritt dieser Fehler nicht auf.
    Habe es heute auch noch einmal auf beiden Geräten ausprobiert und der Fehler tritt noch auf. Bei meinem Galaxy Nexus mit Custom Rom hätte ich das ja noch verstehen können, aber beim Nexus 4 (ohne Root) und Stock-Android wurde ich etwas stutzig.
    Hattest du das vielleicht mit der Passphrase für den Hauptschlüssel probiert (du sprichtst vom letzten Buchstaben)? Ich meine nämlich die PIN, also den UI Schutz.

    Hier habe ich das ganze auch noch einmal in Bilder gepackt:
    https://imgur.com/a/XRKrV

  • Ja, dann sieht man die Ziffern nicht im Klartext, sondern gleich als Punkte.
    Aber bei anderen Apps (bspw. dem System-PIN) verschwinden (wenn "Passwörter sichtbar" aktiv) die Ziffern ja auch und werden zu Punkten.

  • Also hier die abschließende Antwort vom Support zu dem Thema:

    Zitat


    [...] Diese Verhalten ist beabsichtigt. Da der Pin aber zuerst eingegeben werden muss, bevor man
    ihn mit dem löschen "herausfinden" kann ist, stellt dies kein Sicherheitsrisiko dar. [...]

    Grüße
    Mysterion