Hacker môže váš Android telefón odomknúť aj bez toho, aby poznal vaše heslo! Výskumník ukázal, ako na to
Na zneužitie tejto chyby v Android telefónoch, nie je potrebné mať žiadne extra zručnosti. Výskumník ukázal, ako do pár minút možno obísť uzamknutú obrazovku.
Bezpečnostný výskumník narazil na závažnú bezpečnostnú chybu v Android telefónoch, pomocou ktorej je možne obísť uzamknutú obrazovku. Chybu vo softvéri demonštroval na telefóne Google Pixel. Svoje zistenia publikoval v blogu bugs.xdavidhu.me.
Obísť bolo možné nielen heslo, ale aj biometrické overenie
David Schütz hovorí, že útočník s fyzickým prístupom k smartfónu pomocou niekoľkých krokov, môže obísť ochranu uzamknutej obrazovky a získať tak prístup do zariadenia obete. Obísť je pritom možné nielen heslo, ale aj biometrické overenie, napríklad odtlačok prsta.
Zraniteľnosť bola medzičasom označená ako CVE-2022-20465 a prítomnou je v Android telefónoch, ktoré nemajú nainštalovanú bezpečnostnú záplatu z 5. novembra. Schütz na problém narazil kurióznym spôsobom. Natrafil na neho, keď mal 1% batérie a posielal viacero SMS správ. Následne sa mu telefón vypol a tak sa ponáhľal k nabíjačke, aby zapol zariadenie.
Následne musel vložiť PIN, aby odomkol SIM kartu. Ten ale vložil 3-krát nesprávne a tak potreboval PUK, aby odomkol zariadenie. Ten neskôr zadal a nastavil si aj nové heslo PIN. Ako naštartoval telefón, tak sa dostal na uzamknutú obrazovku mobilu. Niečo ale nebolo v poriadku. Na obrazovke bola ikona so skenom odtlačku prsta. To by sa ale nemalo stať. Po zapnutí smartfónu telefón má totiž požiadať, aby bolo vložené heslo na odomknutie zariadenia a nie požiadavku s biometrickým overením.
„Po akceptovaní skenu môjho prsta sa zasekol na podivnej správe „Pixel sa začína…“ a zostal tam, kým som ho znova nereštartoval.“, hovorí Schütz.
Na druhý deň začal toto správanie mobilu študovať podrobnejšie, až kým nenarazil na závažnú chybu. Bezpečnostný analytik hovorí, že raz zabudol reštartovať telefón a do zariadenia vložil novú SIM kartu, na ktorej reštartoval heslo. Tentokrát sa mu ale smartfón otvoril na domovskej obrazovke bez toho, aby zadal čoby len heslo alebo odomkol zariadenie biometrickým overením.
Neprehliadnite
„Hral som sa s týmto procesom viackrát a raz som zabudol reštartovať telefón a začal som z normálneho odomknutého stavu. Uzamkol som zariadenie, vymenil zásobník SIM a vykonal proces resetovania PIN SIM karty. Ani som si neuvedomoval, čo robím.“
Celý tento incident nahral aj na video, ktoré si môžete pozrieť nižšie.
Schütz vysvetľuje, že si uvedomuje, že na to, aby mohla byť zneužitá táto bezpečnostná diera, tak útočník musí mať fyzický prístup k smartfónu. Ale ako ďalej dopĺňa, potenciálny zlodej alebo nálezca telefónu pomocou pár krokov vie k nemu získať prístup bez toho, aby mal nejaké extra zručnosti. Stačí len poznať túto chybu.
Podľa všetkého táto chyba bola prítomnou v telefónoch s Androidom 10, 11, 12 a 13. V súčasnosti by mala byť už ale opravenou. V každom prípade, ak máte starší mobil a nemáte ho aktualizovaný, tak môžete byť potenciálne v ohrození.
Bezpečnostný analytik tento problém spoločnosti Google nahlásil ešte v júni.
Komentáre