.webp "Google Piksel Kilit Ekranı Atlama"){kind=tracking}
Tüm Pixel telefonları etkileyen bir kilit ekranı atlama güvenlik açığı, etik bir bilgisayar korsanı tarafından keşfedildi. David Schutz, Pixel 6’sında zahmetli bir sorun keşfetti.
Ancak bilgisayar korsanı, her Pixel telefonun bir kusuru olduğunu düşünüyor. Bununla birlikte, 5 Kasım 2022’de yayınlanan bir güvenlik güncellemesi, kusuru düzeltti.
David Schütz, “Sorun, fiziksel erişimi olan bir saldırganın kilit ekranı korumalarını (parmak izi, PIN, vb.) atlamasına ve kullanıcının cihazına tam erişim sağlamasına izin verdi” diyor.
Google Piksel Kilit Ekranı Atlama
Raporlar, güvenlik açığının (CVE-2022-20465) olarak izlendiğini ve diğer Android satıcılarını da etkileyebileceğini söylüyor.
Araştırmacı bu sorunu Pixel 6’da bir dizi kısa mesaj gönderirken %1 pille buldu.
Şarj cihazına bağlandıktan sonra Pixel açıldı; SIM’in PIN numarasını istedi. Birkaç kombinasyon denedikten sonra, sonunda üç hatalı PIN girerek SIM kartın kendi kendine kilitlenmesine neden oldu. Bu nedenle, PUK kodu esastır. Bundan sonra, kilit ekranında sona erdi.
David Schütz, bir parmak izi simgesi gösterdiğini söylüyor. Yeniden başlatmanın ardından, cihazın şifresini çözmek için kilit ekranı PIN’ini veya şifresini en az bir kez girmeniz gerektiğinden, olmaması gereken parmak izini kabul etti.
David Schütz, “Parmağımı kabul ettikten sonra garip bir “Pixel başlıyor…” mesajına takıldı ve ben yeniden başlatana kadar orada kaldı.
Etik hacker prosedürü defalarca tekrarladı ama yine de aynı sonucu aldı. Telefon, testlerden biri sırasında arızalandı ve normal kilit ekranı yerine ana ekrana açıldı. Aynı prosedürü Pixel 5’inde kullandığını ve orada da aynı sonuçları elde ettiğini iddia ediyor.
“Saldırgan kendi PIN kilitli SIM kartını getirebildiğinden, istismar için fiziksel erişimden başka bir şeye gerek yoktu. Saldırgan, kurbanın cihazındaki SIM’i değiştirip, PIN kilidi olan ve saldırganın doğru PUK kodunu bildiği bir SIM kartla istismarı gerçekleştirebilir.” David Schütz
Aşağıdaki eylemler dizisiyle kilit ekranı korumalarını atlamanın mümkün olduğunu söylüyor:
- Kilitli cihazda üç kez yanlış parmak izi sağlayın, bu biyometrik kimlik doğrulamanın devre dışı kalmasına neden olur.
- Saldırgan kontrollü bir SIM kullanarak SIM tepsisini çalışırken değiştirin ve PIN’i sıfırlayın.
- SIM kartın kilitlenmesine neden olan yanlış SIM PIN kodunu üç kez girin.
- Cihazın kilidinin açılması için SIM’in Kişisel Kilit Açma Anahtarı (PUK) kodunun girilmesi istenir.
- Saldırgan tarafından kontrol edilen SIM için yeni bir PIN kodu girin
- Cihazın kilidi açılır.
Schutz, bu hatayı bildiren ikinci kişi olduğunu kabul eden Google ile temasa geçti. Şirket, hatayı araştırmaya başlamalarını isteyen onun raporu olduğu için tazminat olarak ona 70.000 dolar verdi.
Schutz’un hatayı Pixel telefonlarında yeniden üretmesini izlemek için videoyu izleyebilirsiniz.
Schutz, Android açık kaynak olduğundan, bu sorunu tüm kod değişiklikleriyle düzeltme taahhüdünün herkese açık olduğunu söylüyor. Ayrıca, düzeltmenin genel kaynak kodu üzerinde büyük bir etkisi var ve birçok dosyanın değiştirildiğini fark etti.
Kusur Google tarafından çözüldü ve etkilenen Pixel telefonların en son Kasım güvenlik düzeltme ekine güncellenmesi isteniyor.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin