Di solito, quando si sceglie un sistema di autenticazione la password risulta più sicura di un pincode o di un gesture code, ma non sui lockscreen di Lollipop.
A causa di una vulnerabilità piuttosto banale, infatti, è possibile mandare in crash il blocco dello schermo e accedere al dispositivo senza ulteriori problemi.
Il bug si manifesta solo con Lollilop e solo se si usa una password alfanumerica invece di un codice pin o una gesture per sbloccare il dispositivo. Non c'è, inoltre, modo di sfruttarlo da remoto: per accedere al dispositivo bisogna averlo tra le mani.
Il bug, come detto, è banale ma non semplice da attivare. La password da inserire per creare il blocco è davvero molto lunga e la procedura di inserimento diventa lenta e difficoltosa, ma mano che il telefono combatte contro "la mole" di lettere e numeri.
L'impatto globale di questa vulnerabilità sembra abbastanza basso. A parte la difficoltà nell'eseguirlo, serve molto tempo a disposizione con il dispositivo in pieno possesso, a tutt'oggi solo il 20% degli smartphone e tablet monta Lollilop e di questi sono una minoranza quelli che sfruttano la password come sistema di sblocco.
Il bug è stato comunque già segnalato a Google che ha già provveduto a rilasciare una patch per i suoi dispositivi Nexus, mentre per gli altri produttori bisognerà seguire la solita trafila.
Il modo migliore per evitare problemi al momento è, ovviamente, quello di passare a un pin numerico (che su Android può essere lungo fino a 16 cifre) o ad una gesture come sistema di sblocco.