研究:Android爆漏洞用PUK碼即可繞過螢幕鎖

安全研究人員發現Android一項簡單的安全漏洞,讓任何人不需輸入密碼就能繞過Google Pixel的保護而存取資料,而且其他Android手機也可能有風險。

安全研究人員發現Android一項簡單的安全漏洞,讓任何人不需輸入密碼就能繞過Google Pixel的保護而存取資料,而且其他Android手機也可能有風險。

這項編號CVE-2022-20465的漏洞是一個本地權限升級瑕疵,任何人只要能拿到Pixel手機,就能繞過螢幕鎖定而存取手機資料。匈牙利研究人員Davide Schutz說,這漏洞非常簡單,但Google卻花了5個月才修補掉。

Schütz發現任何人若能拿到Google Pixel,可以將自己的SIM卡和手機原SIM卡換過來,再輸入預設的回復碼,就能繞過Android的螢幕鎖定保護。Schütz說他是無意中發現到這漏洞,於是趕緊通報Google。

Android的螢幕鎖定讓使用者可設定一組數字密碼、文字和符號混合的密碼,或是一個圖案來保護手機資料、指紋或臉部相片。手機SIM卡可能有另一組個別PIN碼防止有人取出卡片,竊取手機門號。但SIM卡還有另一組個人解鎖碼(personal unlocking code, PUK)可在用戶輸錯PIN碼3次時重設SIM卡。裝置持有人很容易取得PUK碼,因為它通常是印在SIM卡包裝上,甚至可以打電話到電信公司客服取得。

Schütz發現到,只要輸入SIM卡PUK碼就足以騙過Pixel 6及Pixel 5手機防護而允許存取,根本連螢幕鎖都還未顯示。由於攻擊者可以用自己的SIM卡及PUK碼,因此唯一要件是拿到手機,攻擊者就可以調包、插入有PIN碼鎖的SIM卡,再輸入PUK碼就能成功。他說,其他Android裝置也一樣有這問題。

漏洞影響版本包括Android 10到Android 13。

研究人員在6月間通報Google,經過驗證後,Google就發出7,000美元獎金給Schütz。一般這類能允許存取裝置資的漏洞可獲得Google高達1萬美元的獎金,但因為Google說早先也有另一名研究人員通報同一漏洞,只是原本Googe無法複製出來。Google最後複製出Schütz所說的漏洞,並發佈獎金。

Google已在11月5日的Android安全更新中修補了這款漏洞。安全人員建議用戶最好儘快安裝更新。

來源:Techcrunch

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416