研究人員發現一種可繞過谷歌Pixel手機鎖屏的方法。

近日,谷歌修復了一個影響所有Pixel 智能手機的高危安全漏洞,漏洞CVE編號CVE-2022-20465。該漏洞是一個鎖屏繞過漏洞,攻擊者利用該漏洞可以解鎖Pixel 智能手機。

從谷歌官方發布的修復代碼分析,該漏洞是由錯誤翻譯SIM改變事件引發的不準確系統狀態導致的漏洞,會使得鎖屏保護無效。

研究人員稱,通過以下步驟可以完全繞過Pixel的鎖屏保護:

在鎖屏的設備上輸入3次錯誤指紋以禁用生物認證;

在不關機的情況下將手機的SIM卡替換為攻擊者控制的SIM卡,并事先設置PIN碼;

輸入錯誤的SIM PIN碼鎖定SIM卡;

設備會要求用戶輸入SIM卡的PUK碼以解鎖SIM卡,PUK碼是一個8位的數字;為攻擊者控制的SIM卡輸入新的PIN碼;

設定自動解鎖。

也就是說,攻擊者將自己持有PIN鎖定的SIM卡和該卡的PUK碼就可以解鎖Pixel手機。

攻擊者利用該漏洞可以在物理接觸受害者手機的情況下繞過手機的鎖屏保護,包括指紋、PIN碼等。

該漏洞是安全研究人員David Schütz在2022年6月發現的,谷歌于2022年11月安卓月度安全更新中修復了該漏洞。谷歌通過漏洞獎勵計劃向該漏洞的提交者Schütz獎勵7萬美元。

網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接