Google, rastgele birinin, parolasını bilmeden Google Pixel telefonlarının kilidini açmasına müsaade veren bir Emniyet kusurunu Özel olarak bildirdiği için bir Emniyet araştırmacısına 70.000 dolar ödedi
CVE-2022-20465 olarak isimlendirilen kilit ekranı yanılgısı, Lokal bir imtiyaz yükseltme kusuru olarak tanımlanıyor zira Aygıt elinde olan birinin kilit ekranına girmek zorunda kalmadan aygıtın bilgilerine erişmesine müsaade veriyor. Macar araştırmacı David Schütz, yanlıştan yararlanmanın nihayet derece Yalın olduğunu lakin Google’ın düzeltmesinin yaklaşık beş ay sürdüğünü söyledi.
Schütz, bir Google Pixel telefona fizikî erişimi olan herkesin SIM kartını değiştirebileceğini ve Android işletim sisteminin kilit ekranı müdafaalarını atlamak için evvelden ayarlanmış kurtarma kodunu girebileceğini keşfetti. Yanılgı hakkında yayınlanan bir blog gönderisinde yanılgının düzeltildiğini söyleyen Schütz, yanılgıyı kazara nasıl bulduğunu açıkladı ve Google’ın Android takımına bildirdi.
Android kilit ekranları, kullanıcıların telefon datalarını korumak için sayısal bir şifre, parola, bir desen yahut parmak izi yahut Çehre tanıma kullanıyor. SIM kartlarda da bir hırsızın telefonu kullanmasını engellemeyi amaçlayan bir PIN kodu muhafazası bulunuyor. Bir kullanıcı PIN kodunu üç seferden Çok yanlış girerse, SIM kartlarda ek bir şahsî kilit açma kodu yahut PUK bulunuyor. PUK kodları, çoklukla SIM kart paketine basılı olarak bulunuyor yahut direkt cep telefonu operatörünün alıcı hizmetlerinden edinilebiliyor.
Schütz, bu yanlışın, SIM kartın PUK kodunu girmenin, büsbütün yamalı Pixel 6 telefonunu ve eski Pixel 5’i kandırarak, kilit ekranını görsel olarak hiç göstermeden telefonunun ve datalarının kilidini açmak için kâfi olduğu manasına geldiğini ayrım etti. Ayrıyeten, öteki Android aygıtlarının da savunmasız olabileceğini belirtti.
Kötü niyetli biri, kendi SIM kartını kullanırsa ve buna karşılık gelen PUK kodunu biliyorsa, telefona sırf fizikî erişimle kilidini açabiliyor.
Google, birisinin kilit ekranını atlamasına müsaade verebilecek kusurları Özel olarak bildirmeleri için Emniyet araştırmacılarına 100.000 ABD dolarına kadar ödeme yapıyor. Bu durumda Google, Schüttz’e 70.000 dolar ödedi ve bu Android yanlışını Android 10’dan Android 13’e kadar çalıştıran aygıtlar için 5 Kasım 2022’de yayınlanan bir Emniyet güncellemesiyle düzeltti. Aşağıdaki görüntüsünde Schütz’ün bu yanılgıyı nasıl kullandığını görebilirsiniz.
Yorum Yok