Google đã giải quyết một vấn đề bảo mật mức độ nghiêm trọng ảnh hưởng đến tất cả các điện thoại thông minh Pixel có thể bị lợi dụng để mở khóa thiết bị.
Lỗ hổng bảo mật, được theo dõi là CVE-2022-20465 và được báo cáo bởi nhà nghiên cứu bảo mật David Schütz vào tháng 6 năm 2022, đã được khắc phục như một phần của bản cập nhật Android hàng tháng của gã khổng lồ tìm kiếm cho tháng 11 năm 2022.
“Sự cố cho phép kẻ tấn công có quyền truy cập vật lý để vượt qua các biện pháp bảo vệ màn hình khóa (vân tay, mã PIN, v.v.) và có quyền truy cập hoàn toàn vào thiết bị của người dùng”, Schütz, người đã được thưởng 70.000 đô la cho việc bỏ qua màn hình khóa, cho biết trong một bài viết- lên của lỗ hổng.
Theo nhà nghiên cứu, vấn đề bắt nguồn từ thực tế là các biện pháp bảo vệ màn hình khóa hoàn toàn bị đánh bại khi thực hiện theo một trình tự các bước cụ thể –
Cung cấp dấu vân tay không chính xác ba lần để vô hiệu hóa xác thực sinh trắc học trên thiết bị bị khóa Trao đổi nóng thẻ SIM trong thiết bị với một SIM do kẻ tấn công kiểm soát đã thiết lập mã PIN Nhập mã PIN không chính xác ba lần khi được nhắc, khóa thẻ SIM Thiết bị nhắc người dùng nhập mã Khóa mở khóa cá nhân (PUK) của SIM, một số gồm 8 chữ số duy nhất để mở khóa thẻ SIM Nhập mã PIN mới để Thiết bị SIM do kẻ tấn công kiểm soát sẽ tự động mở khóa
Điều này cũng có nghĩa là tất cả những gì đối thủ cần để mở khóa điện thoại Pixel là mang theo thẻ SIM đã khóa mã PIN của chính họ và sở hữu mã PUK của thẻ.
Schütz nói: “Kẻ tấn công có thể chỉ cần hoán đổi SIM trong thiết bị của nạn nhân và thực hiện việc khai thác với một thẻ SIM có khóa mã PIN và kẻ tấn công biết mã PUK chính xác.
Một phân tích về các cam kết của mã nguồn do Google thực hiện để vá lỗ hổng cho thấy rằng đó là do “trạng thái hệ thống không chính xác” được đưa ra do diễn giải sai sự kiện thay đổi SIM, khiến nó hoàn toàn loại bỏ màn hình khóa.
Schütz kết luận: “Tôi không mong đợi gây ra sự thay đổi lớn về mã trong Android với lỗi này.
