Diese Google Pixel-Fehlerbehebung könnte verursacht haben

Eine Schwachstelle, die "scheinbar alle" Google Pixel-Telefone betrifft, könnte es unerwünschten Parteien ermöglicht haben, Zugriff auf ein gesperrtes Pixel-Gerät zu erhalten.

Laut einem Blog-Beitrag (öffnet in neuem Tab) des Cybersicherheitsforschers David Schütz, dessen Fehlerbericht Google zum Handeln überzeugte, wurde der Fehler für die betreffenden Android-Telefone erst nach einem Sicherheitsupdate vom ungefähr 5. November 2022 behoben sechs Monate nach Einreichung. Ihr Fehlerbericht.

Die als CVE-2022-20465 (wird in einem neuen Tab geöffnet) identifizierte Schwachstelle ermöglichte es einem Angreifer mit physischem Zugriff, den Sperrbildschirmschutz wie Fingerabdrücke und PIN zu umgehen und vollen Zugriff auf das Gerät des Benutzers zu erhalten.

Wie hat der Exploit funktioniert?

Schütz, der behauptete, dass ein früherer Fehlerbericht eines anderen Forschers, der auf das Problem hinwies, ignoriert worden sei, sagte, der Exploit sei einfach und leicht reproduzierbar.

Dabei wurde eine SIM-Karte durch dreimalige falsche Eingabe des PIN-Codes gesperrt, das SIM-Fach wieder eingesetzt, der PIN-Code durch Eingabe des PUK-Codes der SIM-Karte (der mit der Originalverpackung geliefert werden sollte) zurückgesetzt und dann ein neuer PIN-Code ausgewählt.

Da der Angreifer einfach seine eigene PIN-gesperrte SIM-Karte mitbringen konnte, war laut Schütz nur physischer Zugriff erforderlich, um den Exploit auszuführen.

Potenzielle Angreifer könnten eine solche SIM-Karte einfach im Gerät des Opfers austauschen und den Exploit mit einer SIM-Karte ausführen, die über eine PIN-Sperre verfügt und für die der Angreifer den richtigen PUK-Code kennt.

Trotz der Schwere des Exploits behauptet Schütz Google hoch anzurechnen, dass Google den Exploit innerhalb von 37 Minuten abgewickelt hat, nachdem er einen Bericht über die Schwachstelle eingereicht hatte.

Obwohl Schultz keine Beweise vorlegte, postulierte er, dass andere Android-Anbieter betroffen sein könnten. Es ist sicherlich möglich, da Android ein Open-Source-Betriebssystem ist.

Es ist auch nicht das erste Mal, dass ein Sicherheitsforscher schwerwiegende Sicherheitslücken in Android-Telefonen entdeckt.

Im April 2022 entdeckte Check Point Research (wird in einem neuen Tab geöffnet) (CPR) einen Fehler, der, wenn er nicht behoben wird, eine große Anzahl von Android-Telefonen aufgrund von Schwachstellen in Qualcomm-Audiodecodern anfällig für die Ausführung von Remotecode machen könnte. und MediaTek-Chips.

Teilen Sie es