Luki w oprogramowaniu zdarzają się prawie wszystkim producentom. Ciężko uniknąć mniejszych lub większych błędów, zwłaszcza jeżeli chodzi o systemy operacyjne. Jest to jeden z powodów, dla których należy regularnie aktualizować aplikacje. Pomaga to nie tylko poprawić wydajność czy dodać nowe funkcje, ale przede wszystkim załatać błędy mające wpływ na bezpieczeństwo.
Jak informuje serwis Bleeping Computer, David Schütz – badacz ds. bezpieczeństwa przypadkowo znalazł sposób na ominięcie ekranu blokady systemu Android, na telefonach Google Pixel 6 i 5 (w pełni zaktualizowanych w chwili wykonania testu). Oznacza to, że każdy z dostępem fizycznym do tych modeli telefonów, będzie w stanie je odblokować. Cały proces zajmuje kilka minut. Google wypuściło już odpowiednią łatkę, która rozwiązuje problem, ale do momentu aktualizacji, użytkownicy muszą liczyć się z możliwym odblokowaniem ich telefonu, gdyby wpadł w niepowołane ręce.
Poniżej film pokazuje moment ominięcia blokady telefonu:
W dużym skrócie, badacz odkrył błąd w momencie, kiedy jego telefon się rozładował. Kiedy ponownie go uruchomił i wpisał trzy razy błędy kod PIN do karty SIM w telefonu, został poproszony o podanie PUK. Jego wpisanie sprawiło, że urządzenie nie wymagało już podania kodu do odblokowania telefonu, co jest standardem po ponownym uruchomieniu urządzenia. Zamiast tego, można było odblokować telefon odciskiem palca (ponownie, nie jest to normalne zachowanie i współczesne telefony z zabezpieczeniami biometrycznymi proszą o podanie kodu w przypadku wyłączenia i ponownego włączenia urządzenia).
Na tym jednak nie koniec. Okazało się, że jeżeli urządzenie nie zostanie ponownie uruchomione, ale było wcześniej używane przez właściciela, podanie kodu PUK spowoduje przejście bezpośrednio do ekranu głównego. Zatem wystarczy dostęp do urządzenia i własna karta SIM, trzy błędne wprowadzenia PIN i następnie podanie PUK. Po dokładnym zbadaniu błędu, podatne na ten atak są systemy Android 10, 11, 12 i 13, o ile nie została na nich zainstalowana listopadowa aktualizacja.
Źródło: https://www.bleepingcomputer.com/news/security/android-phone-owner-accidentally-finds-a-way-to-bypass-lock-screen/
