Przejdź na

Obszedł ekran blokady Androida. Google zapłaciło mu 70 tys. dolarów

Jeśli szukasz sposobu na bardzo szybkie zarobienie dużych pieniędzy, możesz spróbować znaleźć lukę w zabezpieczeniach i odebrać nagrodę bug bounty. Jeden z badaczy otrzymał od Google wypłatę w wysokości 70 tys. dol. po tym, jak odkrył sposób na odblokowanie telefonów z systemem Android bez kodu dostępu, a zrobił to przez przypadek.

Google zapłaciło badaczowi 70 tys. dol. za obejście ekranu blokady Androida Google zapłaciło badaczowi 70 tys. dol. za obejście ekranu blokady Androida
Źródło zdjęć: © YouTube
Konrad Siwik
Konrad Siwik

Węgierski badacz David Schütz zgłosił do Google błąd wysokiej wagi, oznaczony jako CVE-2022-20465, który jest opisywany jako obejście ekranu blokady z powodu błędu logicznego w kodzie, który może prowadzić do lokalnej eskalacji uprawnień bez konieczności wprowadzania hasła.

Chociaż exploit wymaga, aby urządzenie z Androidem było w rękach atakującego, jest to skuteczny sposób na obejście blokady ekranu zabezpieczonej PIN-em, wzorem, hasłem, odciskiem palca lub twarzą. Schütz odkrył wadę po tym, jak podróżował przez 24 godziny, a jego Pixel 6 padł podczas wysyłania serii wiadomości tekstowych.

Obejście ekranu blokady Androida

Po podłączeniu ładowarki i ponownym uruchomieniu urządzenia Pixel poprosił o kod PIN karty SIM, który jest oddzielny od kodu ekranu blokady; jest on zaprojektowany, aby powstrzymać kogoś przed fizyczną kradzieżą karty SIM i jej użyciem. Schütz nie był w stanie przypomnieć sobie swojego kodu, wywołując blokadę SIM po trzech nieudanych próbach.

Jedynym sposobem na zresetowanie zablokowanej SIM jest użycie osobistego kodu odblokowującego, czyli PUK. Są one często drukowane na opakowaniu karty SIM lub można je uzyskać, dzwoniąc do obsługi klienta operatora. Schütz użył tego pierwszego rozwiązania, co pozwoliło mu zresetować PIN. Jednak, zamiast wyświetlić prośbę o hasło do ekranu blokady, Pixel poprosił tylko o zeskanowanie odcisku palca.

Schütz eksperymentował z tą anomalią, aż w końcu odkrył, że odtworzenie tych działań bez ponownego uruchomienia urządzenia umożliwiło pełne obejście ekranu blokady. Nie był nawet wymagany odcisk palca, a wszystko przedstawił na nagraniu wideo.

Badacz twierdzi, że proces zadziałał na jego smartfonach Pixel 6 i Pixel 5. Google naprawiło błąd w najnowszej aktualizacji Androida 5 listopada, ale przestępcy mogli go wykorzystywać przez co najmniej sześć miesięcy. Wszystkie urządzenia z systemem Android 10 do Android 13, które nie zostały zaktualizowane do listopadowej łatki, są nadal podatne na atak.

Konrad Siwik, dziennikarz dobreprogramy.pl

Wybrane dla Ciebie
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Masz mObywatela? Niektóre funkcje będą niedostępne
Masz mObywatela? Niektóre funkcje będą niedostępne
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Koniec Messenger.com. Wszystko, co musisz wiedzieć
Koniec Messenger.com. Wszystko, co musisz wiedzieć
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯