Google hat 70.000 US-Dollar an einen Sicherheitsforscher ausgezahlt, weil er privat einen „versehentlichen“ Sicherheitsfehler gemeldet hat, der es jedem ermöglichte, Google Pixel-Telefone zu entsperren, ohne seinen Passcode zu kennen.
Der Sperrbildschirm-Umgehungsfehler, verfolgt als CVE-2022-20465wird als lokales Escalation of Privilege Bug beschrieben, da es jemandem mit dem Gerät in der Hand ermöglicht, auf die Daten des Geräts zuzugreifen, ohne den Passcode des Sperrbildschirms eingeben zu müssen.
Forscher in Ungarn David Schützen sagte, der Fehler sei bemerkenswert einfach auszunutzen, aber Google habe etwa fünf Monate gebraucht, um ihn zu beheben.
Schütz entdeckte, dass jeder mit physischem Zugang zu einem Google Pixel-Telefon seine eigene SIM-Karte eintauschen und den voreingestellten Wiederherstellungscode eingeben konnte, um den Sperrbildschirmschutz des Android-Betriebssystems zu umgehen. Im ein Blogbeitrag über den Fehler, der jetzt veröffentlicht wurde, nachdem der Fehler behoben wurde, beschrieb Schütz, wie er den Fehler zufällig gefunden hatte, und meldete ihn dem Android-Team von Google.
Auf Android-Sperrbildschirmen können Benutzer einen numerischen Passcode, ein Passwort oder ein Muster festlegen, um die Daten ihres Telefons oder heutzutage einen Fingerabdruck oder Gesichtsabdruck zu schützen. Die SIM-Karte Ihres Telefons verfügt möglicherweise auch über einen separaten PIN-Code, um einen Dieb daran zu hindern, Ihre Telefonnummer auszuwerfen und physisch zu stehlen. Aber SIM-Karten haben einen zusätzlichen persönlichen Entsperrcode oder PUK, um die SIM-Karte zurückzusetzen, wenn der Benutzer den PIN-Code mehr als dreimal falsch eingibt. PUK-Codes sind für Gerätebesitzer ziemlich einfach zu erhalten, oft auf der Verpackung der SIM-Karte aufgedruckt oder direkt beim Kundendienst des Mobilfunkanbieters.
Schütz stellte fest, dass der Fehler bedeutete, dass die Eingabe des PUK-Codes einer SIM-Karte ausreichte, um sein vollständig gepatchtes Pixel 6-Telefon und sein älteres Pixel 5 dazu zu bringen, sein Telefon und seine Daten zu entsperren, ohne jemals den Sperrbildschirm visuell anzuzeigen. Er warnte davor, dass auch andere Android-Geräte anfällig sein könnten.
Da ein böswilliger Akteur seine eigene SIM-Karte und den entsprechenden PUK-Code mitbringen könnte, sei nur ein physischer Zugriff auf das Telefon erforderlich, sagte er. „Der Angreifer könnte einfach die SIM-Karte im Gerät des Opfers austauschen und den Exploit mit einer SIM-Karte ausführen, die eine PIN-Sperre hat und für die der Angreifer den richtigen PUK-Code kennt“, sagte Schütz.
Google kann Sicherheitsforscher bezahlen bis zu 100.000 US-Dollar für das private Melden von Fehlern Dies könnte es jemandem ermöglichen, den Sperrbildschirm zu umgehen, da ein erfolgreicher Exploit den Zugriff auf die Daten eines Geräts ermöglichen würde. Die Prämien für Bugs sind teilweise hoch, um mit den Bemühungen von Unternehmen wie Cellebrite und Grayshift konkurrieren zu können, die sich auf Software-Exploits verlassen, um Technologie zum Knacken von Telefonen zu entwickeln und an Strafverfolgungsbehörden zu verkaufen. In diesem Fall bezahlte Google Schütz eine geringere Bug-Bounty-Belohnung von 70.000 US-Dollar denn obwohl sein Fehler als Duplikat markiert war, konnte Google den vor ihm gemeldeten Fehler nicht reproduzieren – oder beheben.
Google hat den Android-Bug in a behoben Sicherheitsupdate veröffentlicht am 5. November 2022 für Geräte mit Android 10 bis Android 13. Sie können sehen, wie Schütz den Fehler in seinem Video unten ausnutzt.