Даже PIN-код и блокировка SIM-карты не станут помехой для злоумышленника, если ему в руки попадет уязвимое устройство.
Ноябрьское обновление Android содержит в себе исправление необычной ошибки, которая может позволить злоумышленнику обойти экран блокировки Google Pixel. Об уязвимости сообщил исследователь Дэвид Шютц, причем еще в июне этого года.
По словам Шютца, брешь в защите была обнаружена совершенно случайно – он просто забыл свой PIN-код, трижды ввел неправильный, после чего SIM-карта заблокировалась.
Но исследователь не растерялся и решил разблокировать телефон с помощью PUK-кода. И это сработало – ему удалось с легкостью получить доступ к устройству, не вводя правильный PIN-код.
Осознав, что обход блокировки экрана работает на Pixel 6, Шютц решил повторить его на своем старом Pixel 5. Там он тоже сработал.
Сейчас эта уязвимость отслеживается под идентификатором CVE-2022-20465, а исследователь рассказал, как можно воспроизвести ее за пять простых шагов:
- Введите неправильный PIN-код три раза;
- Быстро замените заблокированную SIM-карту на другую, от которой вам известны PIN и PUK-коды;
- Введите восьмизначный PUK-код новой SIM-карты;
- Введите новый PIN-код устройства;
- Готово! Девайс разблокирован!
Google уже выплатила исследователю вознаграждение в размере $70 000 за столь необычную находку.
- Источник новости
- https://www.securitylab.ru/news/534740.php