Seit einiger Zeit gibt es bei Samsung Smartphones die sogenannte Factory Reset Protection. Dieser Schutz soll die Geräte vor Diebstahl bewahren, da eine Wiederherstellung nur mit dem verknüpften Google Account möglich ist. Bereits mehreren Experten ist des gelungen, den Schutz auszuhebeln. Nachdem sämtliche Sicherheitslücken geschlossen wurden, hat RootJunky eine neue Möglichkeit gefunden, um die Factory Reset Protection zu umgehen.
Gemeinsam mit Android 5.1 hat Samsung seine Factory Reset Protection, kurz FRP, eingeführt. Die FRP soll vor allem Diebstähle bekämpfen. Ähnlich wie iOS Geräte können die Smartphones nämlich nur wieder auf Werkeinstellungen zurückgesetzt werden, wenn sämtliche Daten des verknüpften Google Accounts eingeben werden. Auch um das Gerät nach der Wiederherstellung wieder zu aktivieren, muss sich der Nutzer in seinen Google Account einloggen. Doch jetzt hat RootJunky eine Möglichkeit gefunden, die FRP vollständig zu umgehen. Betroffen sind zahlreiche Geräte von Samsung. Wie genau RootJunky auf die Sicherheitslücke aufmerksam geworden ist, ist bislang unklar. Um die Schwachstelle nämlich zu finden, ist doch etwas mehr Aufwand erforderlich.
Übeltäter ist die Funktion Visitenkarte scannen. Mit etwas Aufwand ist es nämlich möglich, diese Funktion dazu auszunützen, um den verknüpften Google Account zu ändern. Um einen neuen Google Account mit dem Smartphone zu verknüpfen, ist normalerweise ein Passwort nötig. Allerdings können die Android Geräte durch das Einscannen von Visitenkarten ausgetrickst werden. Dazu sind mehrere Schritte nötig, welche RootJunky im Detail auflistet. Am Ende hat RootJunky einen neuen Google Account mit seinem Gerät verknüpft und kann dieses auf Werkseinstellungen zurücksetzen, ohne jemals nach dem Passwort des alten Accounts gefragt zu werden. Von der Schwachstelle sind übrigens so gut wie alle aktuellen Geräte betroffen. Vom Galaxy S6 angefangen sind auch die aktuellen Flaggschiffe von dem unsicheren FRP betroffen. Sogar Nutzer des brandneuen Galaxy Note7 sind nicht sicher. Einen kleinen Wermutstropfen gibt es: um die Schwachstelle ausnützen zu können benötigt der Dieb den vollen Zugriff auf das Smartphone. Deshalb gilt: der Sperrcode sollte sicherer sein, als Android.