Pratite nas preko RSS-aAndroid ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana
Mobilni telefoni, 15.11.2022, 12:30 PM
Istraživač sajber bezbednosti David Šuc slučajno je otkrio način da zaobiđe zaštitu zaključanog ekrana na potpuno ažuriranim pametnim telefonima Google Pixel 6 i Pixel 5, što znači da bi svako ko ima fizički pristup uređaju mogao da ga otključa.
Iskorišćavanje ranjivosti koja omogućava napadaču sa fizičkim pristupom telefonu da zaobiđe zaštite zaključanog ekrana na Android telefonima (otisak prsta, PIN itd.) i dobije potpuni pristup uređaju, je jednostavan proces u pet koraka za koji nije potrebno više od nekoliko minuta.
Šuc kaže da je grešku otkrio slučajno nakon što je njegov Pixel 6 ostao bez baterije, posle čega je stavio telefon na punjač i uključio ga. Nakon što je tri puta uneo pogrešan PIN kod SIM kartice, ona se zaključala, pa je morao da koristi PUK (lični ključ za deblokiranje) kod, nakon čega mu je uređaj tražio da postavi novi PIN.
Na njegovo iznenađenje, nakon otključavanja SIM-a i odabira novog PIN-a, uređaj nije tražio lozinku za zaključani ekran, već je samo tražio skeniranje otiska prsta.
Android uređaji uvek zahtevaju lozinku ili PIN za otključavanje ekrana nakon ponovnog pokretanja iz bezbednosnih razloga, tako da prelazak direktno na otključavanje otiskom prsta nije bio očekivan.
Šuc je nastavio da eksperimentiše, a kada je pokušao da reprodukuje grešku bez ponovnog pokretanja uređaja, zaključio je da je moguće otići pravo na početni ekran (i zaobići otisak prsta), ako je uređaj otključao vlasnik barem jednom posle restarta.
Ova greška utiče na sve uređaje koji koriste Android verzije 10, 11, 12 i 13, koji nisu ažurirani u novembru 2022.
Ovaj bezbednosni problem mogao bi imati ozbiljne implikacije za one koji imaju nasilne partnere, za vlasnike ukradenih uređaja, ljude koji su pod istragom itd.
Napadač može jednostavno da koristi sopstvenu SIM karticu na uređaju, tri puta unese pogrešan PIN, unese PUK kod i pristupi uređaju žrtve bez ograničenja.
Šuc je prijavio grešku Guglu u junu 2022. godine, ali iako je tehnološki gigant priznao grešku, ispravka nije objavljena do 5. novembra.
Gugl je nagradio Šuca sa 70.000 dolara za njegovo otkriće.
Korisnici Androida 10, 11, 12 i 13 mogu da isprave ovu grešku primenom bezbednosnog ažuriranja od 5. novembra 2022.
Izdvojeno
Cellik: Android malver u zaraženim verzijama Google Play aplikacija
Na hakerskim forumima pojavio se novi Android malware-as-a-service (MaaS) pod nazivom Cellik, koji napadačima nudi mogućnost ubacivanja malvera u po... Dalje
Apple pozvao korisnike da hitno ažuriraju svoje uređaje: hakeri zloupotrebljavaju ranjivosti u iOS
Apple je pozvao korisnike da odmah ažuriraju svoje iPhone uređaje nakon što je potvrdio da hakeri već zloupotrebljavaju nove bezbednosne propuste ... Dalje
Novi Android malver DroidLock zaključava telefone i snima žrtve prednjom kamerom
Istraživači Zimperium zLabs-a otkrili su novi Android malver nazvan DroidLock, koji se ponaša poput ransomware-a, omogućavajući napadačima da po... Dalje
Android 17 donosi dugo očekivanu funkciju zaključavanja aplikacija
Google bi sa Androidom 17 konačno mogao da uvede funkciju zaključavanja aplikacija, nešto što korisnici traže godinama. U poslednjoj Android Cana... Dalje
Nova verzija malvera ClayRat snima ekran, rekonstruiše PIN i zaobilazi Google Play Protect
Istraživači kompanije Zimperium otkrili su novu verziju špijunskog softvera ClayRat za Android, sa znatno proširenim funkcijama nadzora, krađe po... Dalje
Pratite nas
Nagrade
Prijatelji
