A 2022. novemberi Android-frissítés tartalmaz egy hibajavítást, amely lehetővé teheti a támadók számára a Google Pixel zárolási képernyőjének megkerülését.
A felfedezés mögött álló kutató, David Schütz arról számolt be Google Pixel biztonsági hiba még júniusban, miután egy sor hiba arra késztette, hogy megtalálja a sebezhetőséget. Elfelejtette a PIN-kódját, miután készülékének akkumulátora lemerült és meghalt. Újraindítás után Schütz háromszor hibás PIN-kódot írt be, ami a SIM-kártya lezárását váltotta ki.
Szerencsére a héten egy blogbejegyzésében kifejtette, nála volt az eredeti SIM-csomag, benne a gyári személyes feloldókulcs (PUK) kóddal, amellyel kinyitotta a SIM-kártyát. Innen a helyes PIN-kód megadása nélkül tudott hozzáférni az eszközhöz.
„Miután egy kicsit megnyugodtam, rájöttem, hogy ez valóban egy d*mn full lockscreen bypass, a teljesen kijavított Pixel 6-on. Megkaptam a régi Pixel 5-öt, és ott is megpróbáltam reprodukálni a hibát. Ez is működött” – írta.
A A Google Pixel zárolási képernyőjének megkerülési sebezhetősége a CVE-2022-20465 alatt van nyomon követve. Íme a megkerülési lépések Schütz szerint:
- Írja be háromszor rossz PIN-kódot.
- Üzem közben cserélje ki az eszköz SIM-kártyáját egy ismert PIN-kóddal rendelkező, támadó által vezérelt SIM-kártyára.
- Írja be az új SIM-kártya nyolcjegyű PUK-kódját.
- Írja be az eszköz új PIN-kódját.
- Gyors! A készülék feloldódik.
Erőfeszítéseiért Schütz elmondta, hogy 70,000 XNUMX dolláros bug-jutalomban részesítették, a kérkedéssel együtt.
