Κατά τη διεξαγωγή έρευνας ασφαλείας, ο David Schütz βρήκε έναν τρόπο να παρακάμψει την οθόνη κλειδώματος σε πλήρως ενημερωμένα smartphones Google Pixel 6 και Pixel 5. Αυτό σημαίνει ότι οποιοσδήποτε έχει φυσική πρόσβαση στην Android συσκευή μπορεί να την ξεκλειδώσει.
Δείτε επίσης: Οι καλύτερες εφαρμογές για Android συσκευές
Η οθόνη κλειδώματος του Android είναι ένα χαρακτηριστικό ασφαλείας που συμβάλλει στην προστασία της συσκευής σας από μη εξουσιοδοτημένη πρόσβαση. Μπορείτε να ρυθμίσετε ένα μοτίβο, ένα PIN ή έναν κωδικό πρόσβασης για να ασφαλίσετε τη συσκευή σας. Εάν ξεχάσετε το μοτίβο, το PIN ή τον κωδικό πρόσβασής σας, μπορείτε να χρησιμοποιήσετε το λογαριασμό σας Google για να τον επαναφέρετε.
Η διαδικασία για την εκμετάλλευση της ευπάθειας και την παράκαμψη της οθόνης κλειδώματος σε τηλέφωνα Android είναι γρήγορη και διαρκεί μόνο λίγα λεπτά.
Με την ενημέρωση της περασμένης εβδομάδας, το θέμα ασφάλειας στο Android έχει αντιμετωπιστεί από την Google, αλλά ήταν ανοικτό για κατάχρηση για τουλάχιστον έξι μήνες.
Ο Schütz ανακάλυψε το ελάττωμα σχεδόν τυχαία, όταν η μπαταρία του Pixel 6 του τελείωσε και αφού πληκτρολόγησε 3 φορές λάθος το PIN του. Ο κωδικός PUK (Personal Unblocking Key) του επέτρεψε να ξεκλειδώσει την κάρτα SIM.
Προς έκπληξή του, μετά το ξεκλείδωμα της SIM και την επιλογή ενός νέου PIN, η συσκευή, αντί να ζητήσει τον κωδικό πρόσβασης για την οθόνη κλειδώματος, ζήτησε μόνο σάρωση δακτυλικού αποτυπώματος.
Επειδή οι συσκευές Android ζητούν έναν κωδικό πρόσβασης ή ένα μοτίβο κλειδώματος οθόνης για ασφάλεια κατά την επανεκκίνηση, δεν ήταν φυσιολογικό να πηγαίνετε κατευθείαν στο ξεκλείδωμα με δακτυλικό αποτύπωμα.
Δείτε ακόμα: YouTube: Πώς να χρησιμοποιήσετε το picture-in-picture σε Android;
Ο ερευνητής συνέχισε να πειραματίζεται και όταν προσπάθησε να μιμηθεί το σφάλμα χωρίς επανεκκίνηση της συσκευής, συνειδητοποίησε ξαφνικά ότι ήταν δυνατό να παρακάμψει και την προτροπή δακτυλικού αποτυπώματος, πηγαίνοντας κατευθείαν στην αρχική οθόνη.
Αυτή η ευπάθεια ασφαλείας επηρεάζει πολλούς χρήστες του Android – όλους εκείνους που τρέχουν τις εκδόσεις 10, 11, 12 και 13 και δεν έχουν ενημερώσει τη συσκευή τους με το patch του Νοεμβρίου 2022.
Χρειάζεται φυσική πρόσβαση στη συσκευή για να συνεχίσετε. Ωστόσο, το ελάττωμα εξακολουθεί να έχει σοβαρές επιπτώσεις.
Χρησιμοποιώντας τη δική του κάρτα SIM στη συσκευή-στόχο, ο επιτιθέμενος μπορεί να παρακάμψει τη βιομετρική πιστοποίηση ταυτότητας (δοκιμάζοντας πολλές φορές το ξεκλείδωμα του δακτυλικού αποτυπώματος), να πληκτρολογήσει τρεις φορές λάθος PIN, να δώσει τον αριθμό PUK και να αποκτήσει πρόσβαση στη συσκευή του θύματος χωρίς περιορισμούς.
Δείτε επίσης: Το YouTube για Android ενημερώθηκε με homescreen widgets
Η Google έχει βρει έναν τρόπο να διασφαλίσει ότι η μέθοδος ασφαλείας που χρησιμοποιείται σε κάθε κλήση “απόρριψης” θα στοχεύει σε συγκεκριμένους τύπους οθονών ασφαλείας και όχι μόνο στην επόμενη οθόνη στη σειρά.
Οι χρήστες του Android μπορούν να επιδιορθώσουν αυτό το ελάττωμα εφαρμόζοντας την ενημερωμένη έκδοση ασφαλείας της 7ης Νοεμβρίου 2022.
