Vedran
Google plaća 70.000 USD za otkrivanje zaobilaženja zaključanog zaslona Androida
Ako tražite način da vrlo brzo zaradite mnogo novca, možete pokušati pronaći sigurnosnu ranjivost i zatražiti nagradu za bug bounty. Jedan je istraživač dobio isplatu od 70.000 dolara od Googlea nakon što je otkrio način otključavanja Android telefona bez šifre.
Mađarski istraživač David Schütz izvijestio je o bugu visoke ozbiljnosti, praćenom kao CVE-2022-20465 , koji je opisan kao zaobilaženje zaključanog zaslona zbog logičke pogreške u kodu koja bi mogla dovesti do lokalne eskalacije privilegija bez dodatnih privilegija izvršenja potrebna.
Iako eksploatacija zahtijeva Android uređaj u posjedu napadača, to je učinkovit način zaobilaženja zaključavanja zaslona osiguranog PIN-om, oblikom, lozinkom, otiskom prsta ili licem. Schütz je otkrio nedostatak nakon što je putovao 24 sata i njegov Pixel 6 je crkao dok je slao niz SMS poruka.
Nakon spajanja punjača i ponovnog pokretanja uređaja, Pixel je tražio PIN kod SIM kartice, koji je odvojen od koda zaključanog zaslona; osmišljen je kako bi spriječio nekoga da fizički ukrade vašu SIM karticu i upotrijebi je. Schütz se nije mogao sjetiti svog koda, zbog čega se SIM zaključao nakon što je unio tri netočna broja.
Jedini način za resetiranje zaključane SIM kartice je korištenje osobnog koda za otključavanje ili PUK-a. Oni su često otisnuti na pakiranju SIM kartice ili se mogu dobiti pozivom korisničkoj podršci operatera. Schütz je upotrijebio prvo, što mu je omogućilo resetiranje PIN-a. Ali umjesto da vidi zahtjev za lozinkom zaključanog zaslona, Pixel je tražio samo skeniranje otiska prsta; Android uređaji traže zaporke/PIN-ove nakon ponovnog pokretanja iz sigurnosnih razloga.
Schütz je eksperimentirao s ovom anomalijom. Na kraju je otkrio da reproduciranje tih radnji bez ponovnog pokretanja uređaja omogućuje potpuno zaobilaženje zaključanog zaslona – čak nije potreban ni otisak prsta. Gore možete vidjeti proces na djelu.
Schütz kaže da je proces funkcionirao na njegovim Pixelima 6 i Pixelu 5. Google je to popravio u najnovijem ažuriranju Androida 5. studenog, ali su ga kriminalci mogli iskorištavati najmanje šest mjeseci. Svi uređaji s Androidom 10 do Androida 13 koji nisu ažurirani na zakrpu iz studenog 2022. i dalje su ranjivi.
Google može platiti do 100.000 dolara onima koji prijave greške zaobilaženja zaključanog zaslona. Schütz je dobio manji iznos od 70.000 dolara jer je netko već prijavio onoga kojeg je otkrio, ali ga Google nije uspio reproducirati.