Pratite nas preko RSS-aAndroid ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana
Mobilni telefoni, 15.11.2022, 12:30 PM
Istraživač sajber bezbednosti David Šuc slučajno je otkrio način da zaobiđe zaštitu zaključanog ekrana na potpuno ažuriranim pametnim telefonima Google Pixel 6 i Pixel 5, što znači da bi svako ko ima fizički pristup uređaju mogao da ga otključa.
Iskorišćavanje ranjivosti koja omogućava napadaču sa fizičkim pristupom telefonu da zaobiđe zaštite zaključanog ekrana na Android telefonima (otisak prsta, PIN itd.) i dobije potpuni pristup uređaju, je jednostavan proces u pet koraka za koji nije potrebno više od nekoliko minuta.
Šuc kaže da je grešku otkrio slučajno nakon što je njegov Pixel 6 ostao bez baterije, posle čega je stavio telefon na punjač i uključio ga. Nakon što je tri puta uneo pogrešan PIN kod SIM kartice, ona se zaključala, pa je morao da koristi PUK (lični ključ za deblokiranje) kod, nakon čega mu je uređaj tražio da postavi novi PIN.
Na njegovo iznenađenje, nakon otključavanja SIM-a i odabira novog PIN-a, uređaj nije tražio lozinku za zaključani ekran, već je samo tražio skeniranje otiska prsta.
Android uređaji uvek zahtevaju lozinku ili PIN za otključavanje ekrana nakon ponovnog pokretanja iz bezbednosnih razloga, tako da prelazak direktno na otključavanje otiskom prsta nije bio očekivan.
Šuc je nastavio da eksperimentiše, a kada je pokušao da reprodukuje grešku bez ponovnog pokretanja uređaja, zaključio je da je moguće otići pravo na početni ekran (i zaobići otisak prsta), ako je uređaj otključao vlasnik barem jednom posle restarta.
Ova greška utiče na sve uređaje koji koriste Android verzije 10, 11, 12 i 13, koji nisu ažurirani u novembru 2022.
Ovaj bezbednosni problem mogao bi imati ozbiljne implikacije za one koji imaju nasilne partnere, za vlasnike ukradenih uređaja, ljude koji su pod istragom itd.
Napadač može jednostavno da koristi sopstvenu SIM karticu na uređaju, tri puta unese pogrešan PIN, unese PUK kod i pristupi uređaju žrtve bez ograničenja.
Šuc je prijavio grešku Guglu u junu 2022. godine, ali iako je tehnološki gigant priznao grešku, ispravka nije objavljena do 5. novembra.
Gugl je nagradio Šuca sa 70.000 dolara za njegovo otkriće.
Korisnici Androida 10, 11, 12 i 13 mogu da isprave ovu grešku primenom bezbednosnog ažuriranja od 5. novembra 2022.
Izdvojeno
WhatsApp otkrio nove pokušaje širenja Pegaza i traži sankcije protiv NSO Group
WhatsApp je otkrio i zaustavio nove pokušaje isporuke špijunskog softvera povezane sa izraelskom kompanijom NSO Group, poznatom po razvoju špijunsk... Dalje
MagicAd zatrpava Android uređaje reklamama i nakon zatvaranja zaraženih aplikacija
Istraživači kompanije Dr.Web otkrili su Android trojanca nazvanog MagicAd koji prikazuje reklame na zaraženim uređajima čak i nakon što korisnik... Dalje
Kako hakeri mogu zloupotrebiti Android obaveštenja za manipulaciju Gemini asistentom
Istraživači kompanije SafeBreach otkrili su bezbednosni propust koji je mogao da omogući napadačima da utiču na ponašanje Google Geminija na And... Dalje
Novi talas fišing napada na korisnike aplikacije Signal: hakeri se predstavljaju kao tehnička podrška
U toku je nova fišing kampanja u kojoj se hakeri predstavljaju kao tim za podršku aplikacije Signal, a cilj napadača je krađa rezervnih kopija raz... Dalje
Premium Deception: 250 lažnih Android aplikacija tajno naplaćivalo premijum servise
Istraživači kompanije Zimperium otkrili su višemesečnu Android kampanju pod nazivom Premium Deception, u kojoj je korišćeno gotovo 250 lažnih a... Dalje
Pratite nas
Nagrade
Prijatelji
