När vi blockerar vår Android mobiltelefon , vad vi hoppas är att detta tillstånd är just ett skydd mot andra användare som kommer åt vår terminal, men inte kan använda den om de inte känner till motsvarande mönster eller PIN-kod.
Tja, den teorin har inte varit praxis i vissa telefoner i Googles operativsystem sedan dess en bugg tillåter vem som helst att kringgå låsskärmen en Android-enhet.
Vem som helst kan låsa upp din Android
Cybersäkerhetsforskaren David Schütz är författaren till upptäckten av denna sårbarhet. Den kunde låsa upp båda google Pixel 6 och Google Pixel 5 utan att behöva känna till upplåsningskoden.
För att göra detta, i en nystart, efter att hans Pixel 6 tog slut, angav han felaktigt PIN-koden tre gånger, vilket vi vet gör att mobilen låser sig och PUK-kod som behövs för att komma in i enheten .
Efter att ha låst upp SIM-kortet och valt en ny PIN-kod, enheten bad inte om lösenordet för låsskärmen , men bad bara om en fingeravtrycksskanning. Som du vet bör du inte ha möjlighet att använda ditt fingeravtryck för att låsa upp telefonen förrän efter en lyckad upplåsning med lösenordet.
Påverkar miljontals Android
Google fixade säkerhetsproblemet i den senaste Android-uppdateringen släpptes förra veckan, men den har varit ute i minst sex månader. Effekten av denna säkerhetssårbarhet är dock ganska bred och påverkar alla enheter som kör Android-versionerna 10, 11, 12 och 13 som inte har uppdaterats till November 2022 patch nivå. Tillverkare med lager på Android uppdaterar inte alltid till säkerhetskorrigeringen direkt, så vissa av dem kommer fortfarande att vara sårbara i några veckor.
Även om det kräver fysisk åtkomst till enheten och därför räddar oss från möjliga fjärrattacker, kan detta fel fortfarande orsaka enorma integritetsproblem. Till exempel, i fallet med stulna mobiler kan angriparen helt enkelt använda sitt eget SIM-kort i målenheten, ange fel PIN-kod tre gånger, ange PUK-numret och få obegränsad tillgång till offrets enhet .
Schütz rapporterade felet till Google i juni 2022. Redan då kände teknikjätten igen felet och tilldelade det en CVE-kod (Common Vulnerabilities and Exposures), CVE-2022-20465 , men de publicerade inte en korrigering förrän den 7 november 2022. 2022. För hans upptäckter, Schütz har tilldelats 70,000 XNUMX dollar för sitt fynd , vilket ger en uppfattning om vikten av att åtgärda denna sårbarhet så snart som möjligt.
