2022 年 XNUMX 月的 Android 更新包括对可能允许攻击者绕过 Google Pixel 锁定屏幕的错误的修复。
这一发现背后的研究人员 David Schütz 报告了 谷歌 Pixel 安全漏洞 六月份,一系列错误导致他发现了该漏洞。 在他的设备电量耗尽并死亡后,他忘记了自己的 PIN 码。 重启后,Schütz 输入了 XNUMX 次错误的 PIN 码,导致 SIM 卡自行锁定。
幸运的是,他在本周的一篇博客文章中解释说,他拥有原始 SIM 包装,其中包含工厂个人解锁密钥 (PUK) 代码,可以打开 SIM 卡。 从那里他无需输入正确的 PIN 码即可访问该设备。
“在我冷静下来之后,我意识到,这确实是一个该死的完整锁屏绕过,在完全修补的 Pixel 6 上。我拿到了我的旧 Pixel 5,并尝试在那里重现该错误。 它也有效,”他写道。
Google Pixel锁屏绕过漏洞 在 CVE-2022-20465 下进行跟踪。 根据 Schütz 的说法,以下是绕过步骤:
- PIN 输入错误 XNUMX 次。
- 将设备 SIM 热插拔为具有已知 PIN 码的攻击者控制的 SIM。
- 输入新 SIM 卡的八位 PUK 码。
- 输入新的设备 PIN 码。
- 急! 设备解锁。
Schütz 表示,由于他的努力,他获得了 70,000 美元的漏洞赏金以及吹牛的权利。
