Pembaruan Android bulan November 2022 mencakup perbaikan bug yang memungkinkan penyerang melewati layar kunci Google Pixel.
Peneliti di balik penemuan ini, David Schรผtz, melaporkan Kelemahan keamanan Google Pixel kembali pada bulan Juni setelah serangkaian kesalahan membawanya menemukan kerentanan. Dia lupa PIN-nya setelah perangkatnya kehabisan baterai dan mati. Setelah reboot, Schรผtz memasukkan nomor PIN yang salah sebanyak tiga kali, sehingga memicu kartu SIM terkunci sendiri.
Untungnya, jelasnya dalam postingan blog minggu ini, dia memiliki kemasan SIM asli dengan kode PUK dari pabrik untuk membuka kartu SIM. Dari sana dia bisa mendapatkan akses ke perangkat tanpa harus memasukkan PIN yang benar.
โSetelah saya sedikit tenang, saya menyadari bahwa memang, ini adalah bypass layar kunci penuh, pada Pixel 6 yang telah dipatch sepenuhnya. Saya mendapatkan Pixel 5 lama saya dan mencoba mereproduksi bug di sana juga. Berhasil juga,โ tulisnya.
Grafik Kerentanan melewati layar kunci Google Pixel dilacak di bawah CVE-2022-20465. Berikut langkah-langkah bypassnya, menurut Schรผtz:
- Masukkan PIN yang salah sebanyak tiga kali.
- Tukar SIM perangkat dengan SIM yang dikendalikan penyerang dengan kode PIN yang diketahui.
- Masukkan kode PUK delapan digit SIM baru.
- Masukkan PIN perangkat baru.
- Presto! Perangkat terbuka.
Atas usahanya, Schรผtz mengatakan dia dianugerahi hadiah bug sebesar $70,000, bersama dengan hak untuk menyombongkan diri.
