Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

Er zit een lek in het lockscreen van nieuwe Sony Xperia-smartphones die gebruikers toegang geeft tot alle gegevens op het toestel. De bug is eenvoudig te reproduceren en werkt via het servicemenu van het toestel. Oudere Xperia's hebben het lek niet.

Met het lek in de firmware van de Xperia Z en de Xperia V hebben kwaadwillenden altijd toegang tot alle gegevens van het toestel, welke beveiliging ook op het toestel is gezet. Een kwaadwillende hoeft alleen de code voor het service-menu, *#*#7378423#*#*, in te voeren en in dat menu een test uit te voeren, waarna een druk op de homeknop het homescreen tevoorschijn tovert. Vandaaruit kunnen alle apps geopend worden.

Tijdens het reproduceren van de bug bleek dat het toestel daarna de code niet meer vraagt, totdat de gebruiker opnieuw op de homeknop drukt. Dan kan de truc ook niet worden herhaald, vermoedelijk omdat het servicemenu dan nog actief is en daardoor om beveiligingsredenen niet kan worden geactiveerd.

De bug bleek niet aanwezig op oudere toestellen, zoals de Xperia S met Android 4.0. De Xperia T is volgens tweaker Touchdomex wel vatbaar, al raakt de telefoon daarvan wel van slag. Daar leidde een tik op de homeknop na het uitvoeren van de truc terug naar het lockscreen. Het lijkt er dus op dat de bug is voorbehouden aan Android 4.1-firmware van Sony.

Sony zou op de hoogte zijn van het lek, maar of en wanneer er een fix komt, is niet duidelijk. De bug is ontdekt door Scott Reed, die een filmpje op YouTube plaatste waarin hij het lek demonstreert.

Update, woensdag: Informatie over de Xperia T toegevoegd.

Reacties (71)

Reactiefilter:-171064+135+23+30
Moderatie-faq Wijzig weergave
Bug is ook aanwezig op de Xperia T

Firmwareversie:91.A.0.489

Net zelf getest. Eerste poging was niet vruchtbaar maar de tweede poging wel. Hij lijkt het soms wel en soms niet te doen hier. Krijg er alleen wel meer rare problemen van nu :X Eventjes een reboot doen...

Specifiek alleen werkzaam bij de NFC test. Dan gaat hij wel naar het homescreen. Telefoon raakt hier wel extreem van slag van.

[Reactie gewijzigd door Touchdomex op 26 maart 2013 15:36]

Hier hetzelfde op de T, het lukte de eerste keer om naar het homescreen te gaan maar zodra ik op de belknop drukte was hij weer vergrendeld.

Daarna werkte deze code ook niet meer, na het invoeren spring je meteen weer terug naar het lockscreen. Grappig detail, wanneer je 'm daarna ontgrendeld dan staat het testscherm wel op de voorgrond.
Op de Xperia P werkt het ook.
Een lek in een waterdichte telefoon. :D
Grappig dat één iemand een lockscreenbug vindt bij de iPhone was het geloof ik en opeens gaat iedereen ook lockscreenbugs zoeken bij andere toestellen :P. Ik vraag me af hoe iemand op deze code is gekomen?
Ik vraag me af hoe iemand op deze code is gekomen?
*#*#7378423#*#* = *#*#service#*#*
Zo heb je voor Sony (Ericsson) ook *#*#4636#*#* wat gelijkstaat aan *#*#info#*#*. :P

[Reactie gewijzigd door SChief op 26 maart 2013 15:59]

*#*#INFO#*#* werkt op alle Android-telefoons.

Vroegere Sony Ericsson featurephones hadden ook een code:
rechts (joystick/navpad), * (numpad), links, links, *, links, *
Werkt niet op alle Android-telefoons volgens mij. Ik heb het namelijk geprobeerd op mijn Galaxy S3 en daar werkt het niet op?

On-topic:
Goed dat deze dingen aan het licht komen. Maar hopelijk updaten de fabrikanten de mobiele telefoons eens wat sneller. Niet alleen bij major changes, maar ook om de kleine bugs te verhelpen.
*#*#INFO#*#* werkt op alle Android-telefoons.

Vroegere Sony Ericsson featurephones hadden ook een code:
rechts (joystick/navpad), * (numpad), links, links, *, links, *
Echt? Nooit geweten dat het universeel was dan. Die van de feature phones ken ik ook nog ja, heb zelfs een tijdje een K700i gehad.
Ik vind deze (voor Sony en Sony-Ericsson) ook leuk:
*#*#sellmore#*#*

Overigens werkt de unlock truc niet op mijn Xperia S.
is service menu code van sony (ericson) is overal op internet te vinden.
Het is wel raak de laatste tijd! Apple's iPhone tot 2x toe, nu een Android toestel. Is dit smartphone-hacking de nieuwste trend nu computers 'op hun retour zijn' en mensen eigenlijk alle persoonlijke informatie op 1 device hebben opgeslagen?
Op zich vind ik dit soort bugs thans niet zo heel erg. Je moet je toestel al fysiek verliezen vooraleer er misbruik van gemaakt kan worden. Indien je toestel gestolen wordt, ben je de klos. Indien je het ding niet uit het oog verliest, is er geen probleem.

Het is wel grappig dat op dit soort bugs gefocust wordt, terwijl er toch veel andere zaken moeten zijn die lek zijn en lucratievere bugs opleveren (bijvoorbeeld populaire apps).
Als je telefoon gejat is ben je al verder van huis. Jou een zorg dat iemand kan kijken welke apps je hebt, trouwens is het tegenwoordig vrij eenvoudig om een remote wipe te doen. Verschillende telefoon makers bieden dit aan.
Je vindt het ook niet erg dat er voor een paar honderd euro gebeld wordt naar een 0906 of buitenlands nr? smsjes naar betaalde diensten enzo?

Meestal ontdek je niet binnen 5 seconden dat hij kwijt/gejat is en voordat jij hem geblokkeerd hebt bij de provider kan er toch heel wat schade zijn.

Verder gebruiken de meeste mensen hun telefoon voor veel meer dingen, TAN codes, emails met gevoelige info (zoals wachtwoorden, sofi nr's, rekening nr's) etc etc. Ik denk dat je er te gemakkelijk over denkt dat het weinig kwaad kan.

[Reactie gewijzigd door elpino.rv op 26 maart 2013 17:07]

Ik vind dit zelf ook niet heel verontrustend. Ik heb ook niet echt iets waar iemand anders iets mee kan. Hiervoor had ik zelfs (2 jaar) geen lockscreen (of ja alleen het ringetje naar rechts bewegen).
Ik dacht ik eerder mijn telefoon terug zou kunnen krijgen als iemand toegang tot mijn telefoon had dan helemaal niet. Nu sinds Android 4 heb je die eigenaargegevens.

Bugs zijn iig wel slecht, die zouden er geen in mogen zitten. (Al weet ik dat dat niet kan)
Eerder deze maand bleken ook de Samsung Galaxy S3 en de Note 2 ook vatbaar te zijn.

http://www.oneclickroot.c...o-bypass-the-lock-screen/
Bij de Note 2 was het wel zo dat je het homescreen maar een paar seconden te zien kreeg.
Maar dat vond ik een beetje non-issues. Je moest heel erg snel zijn én er moest toevallig iets op het homescreen staat waar je wat mee kon in de gauwigheid. Zo'n giga veiligheidslek was het nu ook weer niet.
En wie slim is (zoals ik ;) ) en een custom rom heeft, heeft er geen last van. Tenminste, mijn PA3+ heeft het probleem niet.
Dat is al jaren zo, echt niks nieuws...

Elke iPhone jailbraik gebruikt een lek, elke Android waar root op te installeren gebruikt een lek, WM was altijd zo lek als een rieten mand. WP nog verassend weinig over gehoord (kan een positief teken zijn of nog te weinig animo).

Oftewel ik zou meer opkijken als er ineens een jaar lang geen hack gevonden wordt dan dat er wel gevonden worden.

[Reactie gewijzigd door watercoolertje op 26 maart 2013 15:41]

Root rechten bij android is echt niet altijd op basis van een lek, de hele nexus lijn van google is gewoon te unlocken (fastboot oem unlock in de command line), waarna je kan installeren wat je wil. Dit is gewoon by design en heeft niets met een lek of bug. Steeds meer fabrikanten bieden echte tools om bootloaders te unlocken etc.
Galaxy SIII en Note 2 hadden pas ook al een lockscreen bug, dus het is geen first voort Android phones:

http://techcrunch.com/201...-samsungs-android-phones/
Waarbij het belangrijk is dat je bij de iPhone alleen toegang had tot foto's en contacten.

Hier is het hele toestel benaderbaar. Ook de S3 en Note 2 hadden volgens mij een dergelijk probleem (waarbij de Note 2 je maar enkele seconden toegang had tot het toestel).
Hoe meer het in het nieuws is, hoe meer mensen erachter aan zullen gaan. De lockscreen-bugs zijn helemaal in en zodra er een software update is zitten mensen al achter hun telefoon om alle mogelijke manieren uit te proberen om erin te komen.
Vergeet niet dat ook bij de Nokia (MeeGo) toestellen, de lockscreen simpel te omzeilen is:
http://www.youtube.com/watch?v=Quv9iD75JJM
Apple is dus niet de enige bedrijf met dit probleem, Apple heeft het snel en netjes opgelost door wereldwijd een update uitbrengen. Ben benieuwd hoe Sony dat gaat doen, Android staat bekend als fragmentatie. Het duurt maanden tot je een update krijgt en dan moet je ook nog hopen dat geschikt is voor jou toestel.

[Reactie gewijzigd door Xieoxer op 26 maart 2013 15:42]

Het duurt helemaal geen maanden voor dit soort kleine fixes vanuit de fabrikant. Ik heb de Z nu 1 week en sinds een paar dagen al een update voor bugfixes. Zal hier binnenkort ook wel voor komen.
Oh ja? Samsung heeft zijn lockscreen lek anders nog steeds niet gedicht hoor.

Verder is het gewoon een feit dat het bij Android toestellen een crap shoot is vwb wanneer een update of fix uitkomt ALS je al geluk hebt dat de fabrikant van je toestel er nog wat aan wil doen.
Samsung ja, dit is Sony.

Sowieso, zet gewoon de app Myxperia aan of iets vergelijkbaars. Raak je je toestel kwijt dan kan je hem blokkeren, locatie bepalen, alarm laten rinkelen en wissen van een afstand.. Zo'n lockscreen is toch alleen maar onhandig?

Sony heeft die aan/uit knop ontworpen omdat je hem veel gebruikt, en dan telkens langs een code of iets dergelijks? Zonde.
Een pattern to unlock zoals we dat kennen op Android is veel minder omslachtig als een 4-cijfer code, je "swiped" je telefoon gewoon open over een zelf gekozen traject, ipv een voorgedefinieerd pad (links -> rechts, "pull the ring",...)
Ik kom het service menu van mijn arc anders wel in als ik het trucje herhaal. Kom alleen niet verder dan dat omdat mijn arc geen nfc heeft.

daarnaast werkt het ook niet als je een code hebt ingesteld. (op mijn arc in iedergeval.)

helaas code helpt ook niet....

[Reactie gewijzigd door coolkil op 26 maart 2013 15:52]

Zelfde hier, je kan wel de slider balk naar onder slepen om de meldingen te zien, maar hier kan je verder niets mee omdat elke actie hierop terugleidt naar het unlock scherm.
Wanneer je je telefoon kwijt raakt ben je gewoon sowieso de lul. Het beste is om hem op afstand te kunnen wissen.
Ik vind het "kwaadwillende" argument altijd ietwat overdreven.
Dat weet ik zo nog niet. Als je de telefoon wist, dan kun je het sowieso niet meer opsporen.
De iPhone wordt al gehacked, gejailbreaked en geunlocked sinds dag 1, en ondanks vijf jaar aan patches blijven er maar nieuwe exploits gevonden worden. Dat gebeurde met Symbian ook, en met Windows Mobile, en met elk ander smartphone OS daarna. Het enige OS waarvan nog geen enkele exploit is gepubliceerd, is het oude Blackberry OS - maar dat wordt nu uitgefaseerd omdat gebruikers het niet mooi meer vinden, en het is nog maar afwachten of BB 10 ook zo solide is. Het OS van de Playbook is in elk geval wel al eens gekraakt.

[Reactie gewijzigd door Dreamvoid op 26 maart 2013 15:42]

nieuws: Britse overheid: BlackBerry 10 onveilig voor gevoelig overheidswerk - update

En BB10 is ook al niet veilig genoeg bevonden door de Engelse overheid.
Uit dat bericht bleek alleen dat het certificatieproces nog niet klaar is, er staat nergens dat hij niet veilig is?

[Reactie gewijzigd door Dreamvoid op 26 maart 2013 18:25]

De iPhone wordt al gehacked, gejailbreaked en geunlocked sinds dag 1, en ondanks vijf jaar aan patches blijven er maar nieuwe exploits gevonden worden.
Je vergeet er wel even bij te melden dat iOS 6 sinds de launch(iPhone 4S, 2012) tot een maand terug door de evasion jailbreak helemaal niet te jailbreaken was, het word ook steeds lastiger waardoor verschillende jailbreak teams gestopt zijn omdat ze de waarde er gewoon niet van inzien. Jij zet iOS hier nu als 1 of ander lek stuk software wat ook redelijk overdreven is.
Alles is te kraken in de digitale wereld vroeg of laat.
Dus "lockscreen" is "leckscreen"? :)
Hopelijk is dat de enige "lek" in deze waterdichte telefoon...... 8-)
Wat overigens nog veel sneller werkt is door de telefoon schuin tegen het licht te houden, dan zie je precies welk spoor iemand de hele dag op zijn schermpje trekt. :)

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True