עדכון אנדרואיד מנובמבר 2022 כולל תיקון לבאג שעלול לאפשר לתוקף לעקוף את מסך הנעילה של Google Pixel.
החוקר מאחורי התגלית, דיוויד שיץ, דיווח על כך פגם אבטחה של גוגל פיקסל עוד ביוני לאחר שסדרה של שגיאות הביאה אותו למצוא את הפגיעות. הוא שכח את ה-PIN שלו לאחר שהסוללה של המכשיר שלו נגמרה ומת. לאחר אתחול מחדש, Schütz הזין מספר PIN שגוי שלוש פעמים, והפעיל את כרטיס ה-SIM לנעול את עצמו.
למרבה המזל, הוא הסביר בפוסט בבלוג השבוע, הייתה לו אריזת ה-SIM המקורית עם קוד מפתח הפתיחה האישי של המפעל (PUK) לפתיחת כרטיס ה-SIM. משם הוא הצליח לקבל גישה למכשיר מבלי להזין את ה-PIN הנכון.
"אחרי שנרגעתי קצת, הבנתי שאכן, מדובר ב-d*mn מעקף מסך נעילה מלא, ב-Pixel 6 המתוקן במלואו. קיבלתי את ה-Pixel 5 הישן שלי וניסיתי לשחזר את הבאג גם שם. גם זה עבד", כתב.
השמיים מסך הנעילה של Google Pixel עוקף את הפגיעות נמצא במעקב תחת CVE-2022-20465. להלן שלבי העקיפה, לפי שיץ:
- הזן את ה-PIN השגוי שלוש פעמים.
- החלפה חמה של ה-SIM של המכשיר ל-SIM הנשלט על ידי תוקף עם קוד PIN ידוע.
- הזן את קוד ה-PUK בן שמונה הספרות של ה-SIM החדש.
- הזן את ה-PIN החדש של המכשיר.
- Presto! המכשיר נפתח.
על מאמציו, שיץ אמר שהוא זכה בפרס של 70,000 דולר באג, יחד עם זכויות התרברבות.
