Telefoni
Računalništvo, telefonija
13.03.2023 09:12

Deli z drugimi:

Share

Lastnik Androida naključno odkrije način za obvoz zaklenjenega zaslona

Raziskovalec kibernetske varnosti David Schütz je nenamerno našel način za obvoz zaklenjenega zaslona na njegovih v celoti posodobljenih pametnih telefonih Google Pixel 6 in Pixel 5, kar omogoča vsakemu, ki ima fizični dostop do naprave, da jo odklene.
Pixabay - Mohamed Hassan
Pixabay - Mohamed Hassan

Raziskovalec kibernetske varnosti David Schütz je nenamerno našel način za obvoz zaklenjenega zaslona na njegovih v celoti posodobljenih pametnih telefonih Google Pixel 6 in Pixel 5, kar omogoča vsakemu, ki ima fizični dostop do naprave, da jo odklene.

Izkoriščanje ranljivosti za obvoz zaklenjenega zaslona na Androidnih telefonih je preprost petstopenjski postopek, ki ne bi smel trajati več kot nekaj minut.

Google je varnostno težavo že popravil v najnovejši posodobitvi Androida, vendar pa je bila na voljo za izkoriščanje vsaj šest mesecev.

Schütz je po naključju odkril pomanjkljivost, ko se mu je Pixel 6 izpraznil, trikrat vnesel napačno kodo PIN in odklenil zaklenjeno SIM kartico s kodo PUK (osebna odklepna koda).

Presenetljivo je po odklepanju SIM in izbiri nove kode PIN naprava za odklep ni zahtevala gesla zaklenjenega zaslona, ampak je zahtevala samo odtis prsta.

Androidne naprave vedno zahtevajo geslo zaklenjenega zaslona ob ponovnem zagonu iz varnostnih razlogov, zato direktno odklepanje s prstnim odtisom ni normalno.

Raziskovalec je nadaljeval s poskusi in ko je poskušal reproducirati napako brez ponovnega zagona naprave, je ugotovil, da je mogoče neposredno dostopati do začetnega zaslona (tudi brez prstnega odtisa), če je napravo lastnik odklenil vsaj enkrat po ponovnem zagonu.

Vpliv te varnostne ranljivosti je precej širok in prizadene vse naprave, ki delujejo na Androidnih različicah 10, 11, 12 in 13 ter se niso posodobile na raven popravkov iz novembra 2022.

Fizični dostop do naprave je sicer predpogoj. Kljub temu pa ima pomanjkljivost še vedno resne posledice za ljudi z zlorabljajočimi partnerji, tiste, ki so v preiskavi pravosodnih organov, lastnike ukradenih naprav itd.

Napadalec lahko preprosto uporabi svojo SIM-kartico na ciljni napravi, trikrat vnese napačno kodo PIN, zagotovi številko PUK in dostopa do žrtvine naprave brez omejitev.

Schütz je napako prijavil Googlu junija 2022 in čeprav je tehnološki velikan priznal prejem informacije in dodelil ID CVE-2022-20465, rešitve niso izdali do 7. novembra 2022.

Kljub temu, da je bil Schützov poročilo podvojeno, je Google naredil izjemo in nagradil raziskovalca z 70.000 dolarji za njegovo odkritje.

Uporabniki Androidnih različic 10, 11, 12 in 13 lahko to napako odpravijo s posodobitvijo na varnosti paket izdan 7. novembra 2022.


Prijavi napako v članku
Vas zanima več iz te teme?
android kibernetska varnost


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

HERLAH d.o.o.

Efenkova cesta 61, 3320 Velenje, Tel: 03 586 35 60
Herlah d.o.o. se ukvarja z izdelavo celovitih programskih rešitev s področja računovodstva, trgovine in proizvodnje. Več

Makro Team d.o.o.

Ilaunigova ulica 5, 2230 Lenart v Slovenskih goricah, Tel: 040 410 451, 02 729 25 40
Ste mislili, da je IT podporna služba primerna le za večja podjetja? Zagotavljanje strokovne informacijske podpore bodisi na daljavo ali na fizični lokaciji ima številne prednosti, ... Več

PROLON d.o.o.

Rogaška cesta 27, 3240 Šmarje pri Jelšah, Tel: 041 364 535
Podjetje Prolon v Šmarju pri Jelšah je najbolj poznan s trgovino in poslovalnico Telekoma, a to še zdaleč ni njihov edini projekt. Že tri leta uspešno vodijo grafični studio ... Več
Zlati partner

Kaspersky

, ,
Kaspersky je globalno priznano podjetje, specializirano za raziskovanje, razvoj in ponudbo visoko zmogljivih varnostnih rešitev za informacijsko varnost in zaščito pred spletnimi ... Več