Telefoni
Računalništvo, telefonija
13.03.2023 09:12

Deli z drugimi:

Share

Lastnik Androida naključno odkrije način za obvoz zaklenjenega zaslona

Raziskovalec kibernetske varnosti David Schütz je nenamerno našel način za obvoz zaklenjenega zaslona na njegovih v celoti posodobljenih pametnih telefonih Google Pixel 6 in Pixel 5, kar omogoča vsakemu, ki ima fizični dostop do naprave, da jo odklene.
Pixabay - Mohamed Hassan
Pixabay - Mohamed Hassan

Raziskovalec kibernetske varnosti David Schütz je nenamerno našel način za obvoz zaklenjenega zaslona na njegovih v celoti posodobljenih pametnih telefonih Google Pixel 6 in Pixel 5, kar omogoča vsakemu, ki ima fizični dostop do naprave, da jo odklene.

Izkoriščanje ranljivosti za obvoz zaklenjenega zaslona na Androidnih telefonih je preprost petstopenjski postopek, ki ne bi smel trajati več kot nekaj minut.

Google je varnostno težavo že popravil v najnovejši posodobitvi Androida, vendar pa je bila na voljo za izkoriščanje vsaj šest mesecev.

Schütz je po naključju odkril pomanjkljivost, ko se mu je Pixel 6 izpraznil, trikrat vnesel napačno kodo PIN in odklenil zaklenjeno SIM kartico s kodo PUK (osebna odklepna koda).

Presenetljivo je po odklepanju SIM in izbiri nove kode PIN naprava za odklep ni zahtevala gesla zaklenjenega zaslona, ampak je zahtevala samo odtis prsta.

Androidne naprave vedno zahtevajo geslo zaklenjenega zaslona ob ponovnem zagonu iz varnostnih razlogov, zato direktno odklepanje s prstnim odtisom ni normalno.

Raziskovalec je nadaljeval s poskusi in ko je poskušal reproducirati napako brez ponovnega zagona naprave, je ugotovil, da je mogoče neposredno dostopati do začetnega zaslona (tudi brez prstnega odtisa), če je napravo lastnik odklenil vsaj enkrat po ponovnem zagonu.

Vpliv te varnostne ranljivosti je precej širok in prizadene vse naprave, ki delujejo na Androidnih različicah 10, 11, 12 in 13 ter se niso posodobile na raven popravkov iz novembra 2022.

Fizični dostop do naprave je sicer predpogoj. Kljub temu pa ima pomanjkljivost še vedno resne posledice za ljudi z zlorabljajočimi partnerji, tiste, ki so v preiskavi pravosodnih organov, lastnike ukradenih naprav itd.

Napadalec lahko preprosto uporabi svojo SIM-kartico na ciljni napravi, trikrat vnese napačno kodo PIN, zagotovi številko PUK in dostopa do žrtvine naprave brez omejitev.

Schütz je napako prijavil Googlu junija 2022 in čeprav je tehnološki velikan priznal prejem informacije in dodelil ID CVE-2022-20465, rešitve niso izdali do 7. novembra 2022.

Kljub temu, da je bil Schützov poročilo podvojeno, je Google naredil izjemo in nagradil raziskovalca z 70.000 dolarji za njegovo odkritje.

Uporabniki Androidnih različic 10, 11, 12 in 13 lahko to napako odpravijo s posodobitvijo na varnosti paket izdan 7. novembra 2022.


Prijavi napako v članku
Vas zanima več iz te teme?
android kibernetska varnost


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Koenergija d.o.o.

Ilichova 21, 2000 Maribor, Tel: 040 730 010
Večina se zaveda, da je vključitev neke oblike industrijske avtomatizacije v njihov proizvodni obrat ali podjetje koristna. Lahko zmanjša proizvodne stroške, poveča učinkovitost, ... Več
Zlati partner

INSIS d.o.o.

Erjavčeva ulica 18, 5000 Nova Gorica, Tel: 041 938 792
Podjetje Insis, d. o. o., se s spletno prodajo ukvarja že od leta 2009. Ekipa spletne trgovine PoceniPC.com vestno skrbi za svoje kupce. Najbolj so veseli vašega zadovoljstva, zato ... Več

VENUM PC

Cesta Jaka Platiše 18, 4000 Kranj, Tel: 06 999 39 83
Gaming računalniki, kot ste si jih vedno želeli Venum PC je inovativno podjetje, ki se ukvarja s servisom, odkupom in prodajo računalniške opreme. Na njihovi spletni strani ... Več

TRACE BS d.o.o.

Opekarniška cesta 5, 2270 Ormož, Tel: 05 905 23 81
V skupini Trace Solutions, katere del sta Trace BS Poslovne rešitve d. o. o. in Trace IS Informacijske rešitve, se ukvarjajo z razvojem, prodajo in uvajanjem istoimenske programske ... Več