Виявилося, що шляхом нескладних маніпуляцій можна обійти блокування системи та скористатися смартфоном без введення PIN-коду або біометричних даних.
Для цього потрібно:
- скинути можливість входу через сканер відбитків пальців, кілька разів некоректно відсканувавши палець;
- вийняти SIM-картку жертви та вставити свою;
- тричі некоректно ввести PIN-код від SIM-картки, яка вимагатиме введення PUK-коду;
- ввести правильний код PUK — система запропонує перезаписати PIN-код. Після цього смартфон розблокується, минаючи екран блокування.
Виходить, що для атаки зловмиснику не потрібні жодні пристрої або особливі навички, крім фізичного доступу до смартфона та другої SIM-карти.
Шютц повідомив про вразливість у Google у першій половині червня. За правилами програми Android Security Reward Program, за виявлення помилки такого рівня потрібно винагороду в розмірі до 100 000 доларів. Але виявилось, що Google вже знає про проблему, тому Шютц не може претендувати на бонус.
Незважаючи на виявлення вразливості, Google не прагнула її усунути якнайшвидше. Лише у вересні Шютцу вдалося домогтися від інженерів пріоритизувати завдання.
У результаті виправлення CVE-2022-20465 увійшло у листопадовий патч безпеки Android. Шютц виплатили 70 000 доларів як виняток, оскільки лише після його зусиль Google почала роботу над усуненням помилки.
Джерело: xdavidhu