Android 10, 11, 12 και 13 παράκαμψη της οθόνης κλειδώματος

Ο ερευνητής ασφαλείας David Schütz ανακάλυψε τυχαία έναν τρόπο να παρακάμπτει την οθόνη σε πλήρως ενημερωμένα Pixel 6 και Pixel 5 smartphones, επιτρέποντας σε οποιονδήποτε με φυσική πρόσβαση στη συσκευή για να το ξεκλειδώσει.

lock screen

Η εκμετάλλευση της ευπάθειας για την παράκαμψη της κλειδώματος στα τηλέφωνα με είναι μια απλή διαδικασία πέντε βημάτων που δεν διαρκεί περισσότερο από λίγα λεπτά.

Η Google έχει διορθώσει το ζήτημα ασφαλείας στην Android που κυκλοφόρησε την περασμένη εβδομάδα, αλλά οι συσκευές που δεν έχουν ενημερωθεί συνεχίζουν να είναι ευάλωτες.

Ο Schütz αναφέρει ότι ανακάλυψε το ελάττωμα τυχαία όταν στο Pixel 6 τελείωσε η μπαταρία Όταν ξεκίνησε η συσκευή έβαλε το PIN του λάθος τρεις φορές. Μετά έπρεπε να ξεκλειδώσει την κλειδωμένη κάρτα SIM με τον κωδικό PUK (προσωπικό κλειδί απεμπλοκής από το Personal Unblocking Key).

Προς έκπληξή του, αφού ξεκλείδωσε την SIM και επιλέγοντας ένα νέο PIN, η συσκευή δεν ζήτησε τον κωδικό πρόσβασης της οθόνης κλειδώματος, αλλά ζήτησε μόνο μια νέα σάρωση δακτυλικών αποτυπωμάτων.

Οι συσκευές Android ζητούν πάντα έναν κωδικό πρόσβασης ή ένα μοτίβο οθόνης κλειδώματος κατά την επανεκκίνηση για λόγους ασφαλείας, οπότε η κατεύθυνση του ξεκλειδώματος με δακτυλικά αποτυπώματα δεν ήταν φυσιολογική.

Ο ερευνητής συνέχισε να πειραματίζεται και όταν προσπάθησε να αναπαράγει το ελάττωμα χωρίς να επανεκκινήσει τη συσκευή μπόρεσε να παρακάμψει την προτροπή των δακτυλικών αποτυπωμάτων, πηγαίνοντας κατευθείαν στην αρχική οθόνη.

Ο αντίκτυπος αυτής της ευπάθειας ασφαλείας είναι αρκετά ευρεία, επηρεάζοντας όλες τις συσκευές που τρέχουν εκδόσεις Android 10, 11, 12 και 13 και δεν έχουν ενημερωθεί μέχρι τον Νοέμβριο του 2022.

Η φυσική πρόσβαση σε μια συσκευή απαιτείται, αλλά το ελάττωμα εξακολουθεί να έχει σοβαρές επιπτώσεις σε άτομα με ζηλιάρηδες συζύγους, σε όσους βρίσκονται υπό έρευνες επιβολής του νόμου, ιδιοκτήτες κλεμμένων συσκευών κ.λπ.

Ο εισβολέας μπορεί απλά να χρησιμοποιήσει τη δική του κάρτα SIM στη συσκευή που τον ενδιαφέρει, να απενεργοποιήσει τον βιομετρικό έλεγχο ταυτότητας (εάν υπάρχει), να εισαγάγει τον λάθος PIN τρεις φορές, να δώσει τον αριθμό PUK για να αποκτήσει πρόσβαση στη συσκευή του θύματος χωρίς περιορισμούς.

Ο Schütz ανέφερε το ελάττωμα στο Google τον Ιούνιο του 2022 και παρόλο που η εταιρεία αναγνώρισε το bug και ανέθεσε ένα αναγνωριστικό CVE (CVE-2022-20465), δεν κυκλοφόρησε κάποια ενημέρωση μέχρι τις 7 Νοεμβρίου του 2022.

Η Google έδωσε στον ερευνητή $70.000 για το εύρημα του.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).