Znacząca luka w zabezpieczeniach ekranu blokady Windows 10 Mobile

Użytkownicy Windows 10 Mobile znaleźli dość poważny błąd, który umożliwia dotarcie do galerii zdjęć praktycznie każdemu, kto ma fizyczny dostęp do telefonu - także poprawnie zablokowanego. Jak dokładnie wygląda przebieg podatności? Co z poprawkami? O tym poniżej.

Odkryta metoda na podejrzenie czyjejś biblioteki zdjęć jest w rzeczywistości prosta i wymaga siedmiu kroków:

1. Zrób zdjęcie, gdy urządzenie jest zablokowane.
2. Przyciśnij miniaturkę zdjęcia, które właśnie wykonałeś.
3. Usuń je.
4. Naciśnij przycisk Wstecz, by przejść do aplikacji Aparat.
5. Naciśnij miniaturkę ponownie, by przejść do zdjęcia, mimo że zostało ono usunięte.
6. Zobaczysz czarny ekran. Ponownie naciśnij przycisk Wstecz, by przejść do aplikacji Aparat.
7. Miniaturka będzie teraz prowadzić do zdjęcia z biblioteki. Wystarczy ją nacisnąć, by dostać się na listę zdjęć bez konieczności odblokowania telefonu.

Przebieg "włamania" możecie zobaczyć na wideo poniżej:

Dobre wieści są takie, że podatność została najwyraźniej załatana na urządzeniach w programie Insider Preview zarówno w kręgu Fast, jak też Slow. Niestety, wygląda na to, że telefony ze stabilnym wydaniem Windows 10 Mobile w kręgu Production oraz Release Preview (14393.726) wciąż są narażone. Z całą pewnością można więc powiedzieć, że w aktualizacji Creators Update problem nie będzie występował. Niektórzy użytkownicy stabilnych wydań (Production ring) zgłaszają jednak, że podatność u nich nie występuje. Tak czy inaczej Microsoft jest świadomy problemu, opisanego w portalu Centrum opinii (Feedback Hub), gdzie wpis Windows 10 Mobile has a lock screen bug oznaczono jako Odebrano.

Podatność, którą przypisuje się bardziej do kategorii prywatności, aniżeli bezpieczeństwa, swoją poprawkę może otrzymać nawet dziś, jako że mamy właśnie drugi wtorek miesiąca, a więc Patch Tuesday - dzień, w którym Microsoft tradycyjnie wypuszcza aktualizacje bezpieczeństwa dla swoich systemów.

Aktualizacja 15.02.2017: Microsoft przesunął wydanie aktualizacji bezpieczeństwa przewidzianej na Patch Tuesday, w ostatniej chwili tłumacząc to wykryciem usterki.