Ο ερευνητής ασφαλείας David Schütz ανακάλυψε τυχαία έναν τρόπο να παρακάμπτει την οθόνη κλειδώματος σε πλήρως ενημερωμένα Google Pixel 6 και Pixel 5 smartphones, επιτρέποντας σε οποιονδήποτε με φυσική πρόσβαση στη συσκευή για να το ξεκλειδώσει.
Η εκμετάλλευση της ευπάθειας για την παράκαμψη της οθόνης κλειδώματος στα τηλέφωνα με Android είναι μια απλή διαδικασία πέντε βημάτων που δεν διαρκεί περισσότερο από λίγα λεπτά.
Η Google έχει διορθώσει το ζήτημα ασφαλείας στην τελευταία ενημέρωση Android που κυκλοφόρησε την περασμένη εβδομάδα, αλλά οι συσκευές που δεν έχουν ενημερωθεί συνεχίζουν να είναι ευάλωτες.
Ο Schütz αναφέρει ότι ανακάλυψε το ελάττωμα τυχαία όταν στο Pixel 6 τελείωσε η μπαταρία Όταν ξεκίνησε η συσκευή έβαλε το PIN του λάθος τρεις φορές. Μετά έπρεπε να ξεκλειδώσει την κλειδωμένη κάρτα SIM με τον κωδικό PUK (προσωπικό κλειδί απεμπλοκής από το Personal Unblocking Key).
Προς έκπληξή του, αφού ξεκλείδωσε την SIM και επιλέγοντας ένα νέο PIN, η συσκευή δεν ζήτησε τον κωδικό πρόσβασης της οθόνης κλειδώματος, αλλά ζήτησε μόνο μια νέα σάρωση δακτυλικών αποτυπωμάτων.
Οι συσκευές Android ζητούν πάντα έναν κωδικό πρόσβασης ή ένα μοτίβο οθόνης κλειδώματος κατά την επανεκκίνηση για λόγους ασφαλείας, οπότε η κατεύθυνση του ξεκλειδώματος με δακτυλικά αποτυπώματα δεν ήταν φυσιολογική.
Ο ερευνητής συνέχισε να πειραματίζεται και όταν προσπάθησε να αναπαράγει το ελάττωμα χωρίς να επανεκκινήσει τη συσκευή μπόρεσε να παρακάμψει την προτροπή των δακτυλικών αποτυπωμάτων, πηγαίνοντας κατευθείαν στην αρχική οθόνη.
Ο αντίκτυπος αυτής της ευπάθειας ασφαλείας είναι αρκετά ευρεία, επηρεάζοντας όλες τις συσκευές που τρέχουν εκδόσεις Android 10, 11, 12 και 13 και δεν έχουν ενημερωθεί μέχρι τον Νοέμβριο του 2022.
Η φυσική πρόσβαση σε μια συσκευή απαιτείται, αλλά το ελάττωμα εξακολουθεί να έχει σοβαρές επιπτώσεις σε άτομα με ζηλιάρηδες συζύγους, σε όσους βρίσκονται υπό έρευνες επιβολής του νόμου, ιδιοκτήτες κλεμμένων συσκευών κ.λπ.
Ο εισβολέας μπορεί απλά να χρησιμοποιήσει τη δική του κάρτα SIM στη συσκευή που τον ενδιαφέρει, να απενεργοποιήσει τον βιομετρικό έλεγχο ταυτότητας (εάν υπάρχει), να εισαγάγει τον λάθος PIN τρεις φορές, να δώσει τον αριθμό PUK για να αποκτήσει πρόσβαση στη συσκευή του θύματος χωρίς περιορισμούς.
Ο Schütz ανέφερε το ελάττωμα στο Google τον Ιούνιο του 2022 και παρόλο που η εταιρεία αναγνώρισε το bug και ανέθεσε ένα αναγνωριστικό CVE (CVE-2022-20465), δεν κυκλοφόρησε κάποια ενημέρωση μέχρι τις 7 Νοεμβρίου του 2022.
Η Google έδωσε στον ερευνητή $70.000 για το εύρημα του.