Forscher stolpern über einen gefährlichen Android-Fehler, der den Sperrbildschirm umgeht

0

Haben Sie jemals zufällig eine Funktion auf Ihrem Telefon entdeckt? Dieser Autor erinnert sich, dass er entdeckt hat, dass ein schnelles Scrollen vom unteren Rand des Pixel 2 XL-Bildschirms mich zu meiner ersten Startbildschirmseite führen würde, wenn ich andere Startbildschirmseiten durchblättere. Mit freundlichen Grüßen hat diese Verknüpfung jetzt die ganze Zeit auf dem iPhone 11 Pro Max verwendet und verwendet sie jetzt auf meinem Pixel 6 Pro.

Forscher stolpert über schwerwiegende Android-Schwachstelle

Manchmal können Sie auf etwas Gefährlicheres stoßen; etwas, das die Sicherheit der persönlichen Daten auf Ihrem Telefon gefährden kann. Entsprechend Piepender Computerentdeckte der Cybersicherheitsforscher David Schütz eine Möglichkeit, den Sperrbildschirm auf den Handys Pixel 6 und Pixel 5 zu umgehen. Dies könnte es jedem mit Kenntnissen dieser Methode und dem Besitz des Telefons ermöglichen, direkt zum Startbildschirm zu gehen.

Laut dem Bericht dauert es nur fünf Schritte und wenige Minuten, um diesen Hack zu verwenden. Die gute Nachricht ist, dass Google diese Schwachstelle im Android-Sicherheitsupdate vom November, das am 7. November veröffentlicht wurde, gepatcht hat. Die schlechte Nachricht ist, dass der Hack Angreifern mindestens sechs Monate lang zur Verfügung stand, bevor der Patch verbreitet wurde. Aber für diejenigen unter Ihnen, die nie Lust haben, ein Sicherheitsupdate zu installieren, sind dies die Gründe, warum es wichtig ist, jedes einzelne zu installieren.

Schütz sagte, er habe den Fehler zufällig entdeckt, nachdem der Akku seines Pixel 6 leer war. Er hat seine PIN-Nummer dreimal falsch eingegeben und die gesperrte SIM-Karte mit dem PUK-Code (Personal Unblocking Key) wiederhergestellt. Der PUK wird verwendet, um eine verlorene oder vergessene PIN-Nummer zurückzusetzen. Diese Informationen erhalten Sie von Ihrem Mobilfunkanbieter. Normalerweise fordert ein Android-Telefon nach dem Entsperren der SIM-Karte und der Auswahl einer neuen PIN-Nummer aus Sicherheitsgründen den Sperrbildschirm-Passcode oder das Muster an.

Aber dank des Fehlers sagte Schütz, dass sein Pixel 6 stattdessen einen Fingerabdruckscan angefordert habe, was als ungewöhnliches Verhalten gilt. Nachdem er mit dem Gerät herumgespielt hatte, stellte er fest, dass, wenn er den Vorgang auf seinem Pixel 6 startete, als es bereits entsperrt war, das Telefon die Anfrage nach dem Fingerabdruckscan umging und es der Person, die das Gerät hielt, ermöglichte, direkt zum Startbildschirm zu gehen.

Android-Telefone, auf denen diese Versionen des Betriebssystems ausgeführt werden, sind anfällig

Telefone mit Android 10, 11, 12 und 13 ohne den Sicherheitspatch vom November 2022 bleiben anfällig für den Hack. Seien wir ehrlich, das Ausnutzen dieser Schwachstelle erfordert, dass der Angreifer das angegriffene, entsperrte Telefon besitzt. Aber wenn Ihr Handy gestohlen wurde oder von Strafverfolgungsbehörden unter Vorladung abgeholt wurde oder einfach verschwunden ist, könnte die Person, die im Besitz des Geräts ist, die SIM-Karte darauf gegen die in seinem Telefon austauschen, die biometrische Authentifizierung deaktivieren, das Falsche eingeben PIN-Nummer dreimal eingeben und die PUK-Nummer eingeben. Diese Person hat jetzt Zugriff auf den Startbildschirm Ihres Telefons.

Schütz hat die Schwachstelle im vergangenen Juni an Google gemeldet, und die kühleren Temperaturen und früheren Sonnenuntergangszeiten sollten Sie daran erinnern, dass wir die Sommersaison nicht mehr genießen. Für seine Mühen bekam Schütz 70.000 Dollar zugesprochen Google für den Hinweis auf diesen Fehler. Die Alphabet-Einheit hatte dem Fehler eine Common Vulnerabilities and Exposures (CVE)-Nummer von CVE-2022-20465 zugewiesen.

Was haben wir hier gelernt? Nun, wir haben gelernt, dass das Herumspielen auf Ihrem Telefon Ihnen helfen kann, eine Schwachstelle zu finden, insbesondere wenn Sie ein Cybersicherheitsforscher sind. Wir haben gelernt, dass es wichtig ist, Sicherheitsupdates zu installieren, sobald sie verfügbar sind (normalerweise am ersten Montag eines jeden Monats für Android-Handys). Und wir haben auch gelernt, dass es manchmal besser ist, egoistisch zu sein und sich weigern, jemandem sein Telefon zu leihen, der behauptet, dass er einen Anruf tätigen muss, sogar einen Notruf.

Tut mir leid, so hart zu sein, aber es gab Fälle, in denen jemand darum gebeten hat, einen Notruf zu tätigen, und dann mit dem Mobilteil des barmherzigen Samariters davongelaufen ist. Im Notfall können Sie der Person mitteilen, dass Sie den Anruf in ihrem Namen tätigen.

source site-33