Kasım 2022 Android güncellemesi, bir saldırganın Google Pixel kilit ekranını atlamasına izin verebilecek bir hataya yönelik bir düzeltme içerir.
Keşfin arkasındaki araştırmacı David Schütz, Google Piksel güvenlik açığı bir dizi hatanın güvenlik açığını bulmasına yol açmasının ardından Haziran ayında geri döndü. Cihazının pili bitip öldükten sonra PIN'ini unutmuştu. Yeniden başlatmanın ardından Schütz, üç kez yanlış bir PIN numarası girerek SIM kartın kendi kendini kilitlemesini tetikledi.
Şans eseri, bu hafta bir blog gönderisinde, SIM kartı açmak için fabrika kişisel kilit açma anahtarı (PUK) koduyla birlikte orijinal SIM paketine sahip olduğunu açıkladı. Oradan, doğru PIN'i hiç girmeden cihaza erişmeyi başardı.
"Biraz sakinleştikten sonra, tamamen yamalı Pixel 6'da bunun gerçekten de lanet olası bir tam ekran kilidi atlama olduğunu fark ettim. Eski Pixel 5'imi aldım ve hatayı orada da yeniden oluşturmaya çalıştım. O da işe yaradı,” diye yazdı.
The Google Pixel kilit ekranı atlama güvenlik açığı CVE-2022-20465 kapsamında izlenir. Schütz'e göre bypass adımları şunlardır:
- PIN'i üç kez yanlış girin.
- Cihaz SIM'ini, bilinen PIN koduna sahip, saldırgan tarafından kontrol edilen bir SIM ile çalışırken değiştirin.
- Yeni SIM'in sekiz haneli PUK kodunu girin.
- Yeni cihaz PIN'ini girin.
- Presto! Cihazın kilidi açılır.
Çabaları için Schütz, övünme haklarıyla birlikte kendisine 70,000 dolarlık bir böcek ödülü verildiğini söyledi.
