Обнаружение ошибки обхода экрана блокировки Android принесло исследователю 70 тыс. долларов

Google поделилась новостями о том, что в ее мобильных устройствах была найдена ошибка, на исправление которой ушло полгода.

Обнаружена ошибка обхода экрана блокировки Android

Google заплатила 70 тыс. долларов венгерскому исследователю безопасности за то, что он уведомил компанию об ошибке, позволяющей посторонним лицам разблокировать телефоны Google Pixel без пароля. Эту новость сообщил Tech Crunch 14 ноября 2022 года.

Ошибка обхода экрана блокировки получила код CVE-2022-20465, что означает «локальное повышение привилегий». Суть находки в том, что из-за нее любой сторонний пользователь способен получить доступ к устройству без необходимости вводить пароль экрана блокировки. Ошибку обнаружил Дэвид Шютц (David Schütz), который обратил внимание на то, что уязвимость было очень просто использовать, однако на ее исправление у Google ушло около пяти месяцев.

Таким образом, любое постороннее лицо с физическим доступом к телефону Google Pixel могло вставить собственную SIM-карту и ввести код восстановления, чтобы обойти защиту экрана блокировки операционной системы Android. Сначала Шютц объявил о находке в Google, и только после ее исправления об уязвимости было заявлено во всеуслышание.

Традиционно экран блокировки Android позволяет пользователю установить числовой код доступа, пароль или другой способ защиты данных телефона. Однако на SIM-карте телефона существует отдельный PIN-код, а также персональный код разблокировки (PUK) для сброса SIM-карты, если пользователь неправильно вводит PIN-код более трех раз. PUK-код напечатан на упаковке SIM-карты, либо его можно узнать у службы поддержки.

Так вот, ввода PUK-кода SIM-карты оказалось достаточно, чтобы «обмануть» Pixel 6 и Pixel 5, разблокировать устройство и получить доступ к информации. Шютц предупредил, что другие устройства Android также могут быть уязвимы. Google выплатил Шютцу меньшее вознаграждение в размере 70 тыс. долларов. Компания исправила ошибку Android в обновлении безопасности, выпущенном 5 ноября 2022 года для устройств Android 10-13.

Ранее Интернет-журнал «LinDeal.com» рассказал о том, что хакеры «заразили» Android-приложения, которые теперь носят характер вредоносного ПО.