Badacz odkrywa poważną usterkę systemu Android, która omija ekran blokady

Czy przypadkiem znalazłeś jakąś funkcję w swoim telefonie? Ten pisarz pamięta odkrycie, że przesunięcie od dołu ekranu Pixel 2 XL zabierze mnie na pierwszą stronę ekranu głównego podczas przeglądania innych stron ekranu głównego. Naprawdę używałem tego skrótu przez cały czas na moim iPhonie 11 Pro Max, a teraz używam go na moim Pixel 6 Pro.

Badacz odkrywa poważną lukę w systemie Android

Czasami możesz natknąć się na coś poważniejszego; Coś, co mogłoby zagrozić bezpieczeństwu danych osobowych w Twoim telefonie. według KomputerBadacz cyberbezpieczeństwa David Schütz odkrył sposób na ominięcie ekranu blokady w telefonach Pixel 6 i Pixel 5. Dzięki temu każdy, kto zna tę metodę i posiada telefon, może przejść bezpośrednio na ekran główny.

Według raportu, użycie tego hacka zajmuje tylko pięć kroków i kilka minut. Dobrą wiadomością jest to, że Google załatało tę lukę w listopadowej aktualizacji zabezpieczeń dla Androida wydanej 7 listopada. Zła wiadomość jest taka, że haker był dostępny dla atakujących przez co najmniej sześć miesięcy przed opublikowaniem łatki. Ale dla tych z was, którzy nigdy nie chcą instalować aktualizacji zabezpieczeń, są to powody, dla których ważne jest, aby zainstalować każdą aktualizację.

Schutz powiedział, że odkrył usterkę całkiem przypadkowo po wyczerpaniu się baterii Pixela 6. Wprowadź błędny numer PIN trzy razy i odzyskaj zablokowaną kartę SIM za pomocą kodu PUK (Personal Unlocking Key). Kod PUK służy do resetowania zgubionego lub zapomnianego kodu PIN. Informacje te można uzyskać od dostawcy usług bezprzewodowych. Zazwyczaj po odblokowaniu karty SIM i wybraniu nowego kodu PIN telefon z Androidem prosi o hasło lub wzór blokady ekranu ze względów bezpieczeństwa.

Ale z powodu wady Schutz powiedział, że jego Pixel 6 poprosił o skanowanie odcisków palców, co jest nietypowym zachowaniem. Po zabawie z urządzeniem odkrył, że jeśli uruchomi proces na swoim Pixelu 6, gdy jest już odblokowany, telefon ominie żądanie skanowania odcisków palców i pozwoli osobie trzymającej urządzenie przejść bezpośrednio do ekranu głównego.

READ Sony podaje szczegółowe informacje na temat wymagań systemowych God of War dla komputerów PC i ulepszeń dla poszczególnych platform • Eurogamer.net

Telefony z Androidem z tymi wersjami systemu operacyjnego są słabe

Telefony z systemem Android 10, 11, 12 i 13 bez poprawki bezpieczeństwa z listopada 2022 r. pozostają podatne na ataki hakerów. Spójrzmy prawdzie w oczy, wykorzystanie tej luki wymaga od atakującego posiadania odblokowanego telefonu docelowego. Ale jeśli Twój telefon zostanie skradziony, odebrany przez organy ścigania na podstawie nakazu sądowego lub po prostu zgubiony, osoba, która jest właścicielem urządzenia, może wymienić kartę SIM na tę w swoim telefonie, wyłączyć uwierzytelnianie biometryczne, trzykrotnie wpisać błędny kod PIN, i wbij numer PUK. Ta osoba ma teraz dostęp do ekranu głównego Twojego telefonu.

Schutz poinformował Google o luce w czerwcu, a niskie temperatury i wcześniejsze zachody słońca powinny przypomnieć, że nie cieszymy się już sezonem letnim. Z powodu swoich problemów Schütz zarobił wcześniej 70 000 $ Google Aby zwrócić jej uwagę na tę wadę. Moduł Alphabet zidentyfikował liczbę wspólnych luk w zabezpieczeniach i luk (CVE) w CVE-2022-20465 dla defektu.

Więc czego się tutaj nauczyliśmy? Cóż, dowiedzieliśmy się, że granie na telefonie może pomóc w znalezieniu luki w zabezpieczeniach, zwłaszcza jeśli jesteś badaczem cyberbezpieczeństwa. Dowiedzieliśmy się, że ważne jest instalowanie aktualizacji zabezpieczeń, gdy tylko będą one dostępne (zazwyczaj w pierwszy poniedziałek każdego miesiąca na urządzeniach z systemem Android). Nauczyliśmy się też, że czasami lepiej być samolubnym i odmówić pożyczenia telefonu komuś, kto twierdzi, że musi wykonać połączenie, nawet połączenie alarmowe.

Przepraszam za to, że jestem tak okrutny, ale zdarzały się przypadki, kiedy ktoś dzwonił po numer alarmowy, a potem uciekł z telefonem Dobrego Samarytanina. W nagłych wypadkach możesz poinformować osobę, że zadzwonisz w jej imieniu.

Randolph Howe

„Zła entuzjasta podróży. Irytująco skromny ćpun internetu. Nieprzepraszający alkoholiczek”.

READ Po 27 latach przeglądarka Microsoft Internet Explorer przeszła na emeryturę