виявлення помилки обходу екрану блокування Android принесло досліднику 70 тис. доларів
Google поділилася новинами про те, що в її мобільних пристроях була знайдена помилка, на виправлення якої пішло півроку
Google заплатила 70 тис.доларів угорському досліднику безпеки за те, що він повідомив компанію про помилку, що дозволяє стороннім особам розблокувати телефони Google Pixel без пароля. Цю новину повідомив Tech Crunch 14 Листопада 2022 року.
Помилка обходу екрана блокування отримала код CVE-2022-20465, що означає «локальне підвищення привілеїв». Суть знахідки в тому, що через неї будь-який сторонній користувач здатний отримати доступ до пристрою без необхідності вводити пароль екрану блокування. Помилку виявив Девід Шютц (David Schütz), який звернув увагу на те, що вразливість було дуже просто використовувати, проте на її виправлення у Google пішло близько п'яти місяців.
Таким чином, будь-яка стороння особа з фізичним доступом до телефону Google Pixel могла вставити власну SIM-карту та ввести код відновлення, щоб обійти захист екрана блокування операційної системи Android . Спочатку Шютц оголосив про знахідку в Google, і тільки після її виправлення про уразливість було заявлено привселюдно.
Традиційно екран блокування Android дозволяє користувачеві встановити числовий пароль, пароль або інший спосіб захисту даних телефону. Однак на SIM-картці телефону існує окремий PIN-код, а також персональний код розблокування (PUK) для скидання SIM-картки, якщо користувач неправильно вводить PIN-код більше трьох разів. PUK-код надрукований на упаковці SIM-карти, або його можна дізнатися у служби підтримки.
Так ось, введення PUK-коду SIM-карти виявилося досить, щоб «обдурити» Pixel 6 і Pixel 5, розблокувати пристрій і отримати доступ до інформації. Шютц попередив, що інші пристрої Android також можуть бути вразливими. Google виплатив Шютцу меншу винагороду в розмірі 70 тис.доларів. Компанія виправила помилку Android в оновленні безпеки, випущеному 5 листопада 2022 року для пристроїв Android 10-13.
Раніше «WorldBank.org.ua» розповів про те, що хакери "заразили" Android- Додатки , які тепер носять характер шкідливого ПЗ.