Google, cihazların kilidini açmak için önemsiz bir şekilde yararlanılabilecek tüm Pixel akıllı telefonları etkileyen yüksek önemdeki bir güvenlik sorununu çözdü.
Güvenlik açığı, şu şekilde izlendi: CVE-2022-20465 ve güvenlik araştırmacısı David Schütz tarafından Haziran 2022’de bildirilen, arama devinin Kasım 2022 için aylık Android güncellemesinin bir parçası olarak düzeltildi.
Kilit ekranı atlaması için 70.000 dolar ödül alan Schütz, “Sorun, fiziksel erişimi olan bir saldırganın kilit ekranı korumalarını (parmak izi, PIN vb.) atlamasına ve kullanıcının cihazına tam erişim sağlamasına izin verdi” dedi. kusur kadar.
Araştırmacıya göre sorun, belirli bir dizi adımı takip ederken kilit ekranı korumalarının tamamen yenilmesi gerçeğinden kaynaklanıyor –
- Kilitli cihazda biyometrik kimlik doğrulamasını devre dışı bırakmak için üç kez yanlış parmak izi sağlayın
- Cihazdaki SIM kartı, PIN kodu ayarlanmış, saldırgan kontrollü bir SIM ile çalışırken değiştirin
- İstendiğinde yanlış SIM pinini üç kez girin, SIM kartı kilitleyin
- Cihaz, kullanıcıdan SIM kartının blokesini kaldırmak için 8 basamaklı benzersiz bir numara olan SIM’in Kişisel Kilit Açma Anahtarı (PUK) kodunu girmesini ister
- Saldırgan tarafından kontrol edilen SIM için yeni bir PIN kodu girin
- Cihaz otomatik olarak kilidini açar
Bu aynı zamanda, bir düşmanın bir Pixel telefonunun kilidini açmak için ihtiyaç duyduğu tek şeyin kendi PIN kilitli SIM kartlarını getirmesi ve kartın PUK koduna sahip olması anlamına gelir.
Schütz, “Saldırgan, kurbanın cihazındaki SIM’i değiştirebilir ve PIN kilidi olan ve saldırganın doğru PUK kodunu bildiği bir SIM kartla istismar gerçekleştirebilir” dedi.
Google tarafından kusuru düzeltmek için yapılan kaynak kodu taahhütlerinin bir analizi, bunun, SIM değiştirme olayının yanlış yorumlanmasının bir sonucu olarak ortaya çıkan ve kilit ekranını tamamen kapatmasına neden olan bir “yanlış sistem durumu”ndan kaynaklandığını gösteriyor.
Schütz, “Bu hatayla Android’de bu kadar büyük bir kod değişikliğine neden olmayı beklemiyordum.”