Súlyos hibát találtak az Androidban, egy egyszerű trükkel megkerülhető a képernyőzár

0

Egy aggasztó hiba látott napvilágot a napokban, amit egy magyar kiberbiztonsági szakértő, David Schütz fedezett fel véletlenül. Ha valaki fizikailag is hozzáfér a telefonhoz, akkor könnyedén megkerülhető a képernyőzár.

A beszámolók szerint a hiba az Android 10 óta megtalálható a rendszerben, és minden olyan készülék esetében gondokat okozhat, amely gyári (AOSP), vagy ahhoz közeli szoftvert futtat. A biztonsági rést egy Pixel 5 és egy Pixel 6 mobilon demonstrálták, de sok más modell is érintett lehet.

A hibát felfedező David Schütz úgy talált rá a sebezhetőségre, hogy lemerült a Pixel 6 mobilja, majd amikor feltöltötte és újra bekapcsolta, akkor háromszor is elrontotta a PIN kódját. Ezután a PUK kódot kérte a telefon, amit már helyesen beírt, ám nagy meglepetésére a készülék nem kérte a lezárási jelszót, csak az ujjlenyomatát (bekapcsolás után első alkalommal biztonsági okokból mindig jelszót vagy mintát kér a rendszer).

Ezzel még nem ért véget a történet, ugyanis további kísérletezések után arra jutott, hogy ha nem indítja újra a mobilt, és úgy végzi el a PUK kódos műveletet, akkor nem csak jelszót, hanem ujjlenyomatot sem kér a rendszer, vagyis simán be tud lépni a telefonba. A művelethez tehát nem kell más, csak egy saját SIM kártya, aminek tudjuk a PUK kódját, illetve a lehetőség, hogy belehelyezzük azt a készülékbe.

A szakértő már júniusban jelezte a hibát a Google-nek, ám a keresőóriás csak a november 5-ei biztonsági csomaggal adott ki erre vonatkozó javítást, és ez még rettentően kevés készülékre jelent meg. Vagyis nagyon sok Android rendszerű telefon sebezhető jelenleg, amelyeken 10-es, 11-es, 12-es vagy 13-as verzió fut. Csak akkor lehetnek nyugodtak a tulajok, ha megkapták a novemberi patchet.

A hiba felfedezője több hónapos huzavona és bizonytalanság után végül 70 ezer dollár (kb. 27,7 millió Ft) jutalmat kapott a Google-től. (Eleinte úgy volt, hogy nem kap semmit, mert duplikált a bejelentés. Ez azt jelenti, hogy korábban már más is bejelentette ugyanezt a hibát, a Google viszont akkor nem lépett semmit. Csak a második bejelentés után kezdtek érdemben foglalkozni vele, legalábbis ez derül ki az esetet leíró blogposztból.)

Forrás

Kövesd te is a NapiDroid.hu-t a legfrissebb androidos hírekért!
Megosztás

About Author

A Napidroid.hu alapítója.

NapiDroid