Google, herhangi birinin, parolasını bilmeden Google Pixel telefonlarının kilidini açmasına izin veren bir güvenlik hatasını özel olarak bildirdiği için bir güvenlik araştırmacısına 70.000 dolar ödedi
CVE-2022-20465 olarak adlandırılan kilit ekranı hatası, yerel bir ayrıcalık yükseltme hatası olarak tanımlanıyor çünkü cihaz elinde olan birinin kilit ekranına girmek zorunda kalmadan cihazın verilerine erişmesine izin veriyor. Macar araştırmacı David Schütz, hatadan yararlanmanın son derece basit olduğunu ancak Google’ın düzeltmesinin yaklaşık beş ay sürdüğünü söyledi.
Schütz, bir Google Pixel telefona fiziksel erişimi olan herkesin SIM kartını değiştirebileceğini ve Android işletim sisteminin kilit ekranı korumalarını atlamak için önceden ayarlanmış kurtarma kodunu girebileceğini keşfetti. Hata hakkında yayınlanan bir blog gönderisinde hatanın düzeltildiğini söyleyen Schütz, hatayı yanlışlıkla nasıl bulduğunu açıkladı ve Google’ın Android ekibine bildirdi.
Android kilit ekranları, kullanıcıların telefon verilerini korumak için sayısal bir şifre, parola, bir desen veya parmak izi veya yüz tanıma kullanıyor. SIM kartlarda da bir hırsızın telefonu kullanmasını engellemeyi amaçlayan bir PIN kodu koruması bulunuyor. Bir kullanıcı PIN kodunu üç defadan fazla yanlış girerse, SIM kartlarda ek bir kişisel kilit açma kodu veya PUK bulunuyor. PUK kodları, genellikle SIM kart paketine basılı olarak bulunuyor veya doğrudan cep telefonu operatörünün müşteri hizmetlerinden edinilebiliyor.
Schütz, bu hatanın, SIM kartın PUK kodunu girmenin, tamamen yamalı Pixel 6 telefonunu ve eski Pixel 5’i kandırarak, kilit ekranını görsel olarak hiç göstermeden telefonunun ve verilerinin kilidini açmak için yeterli olduğu anlamına geldiğini fark etti. Ayrıca, diğer Android cihazlarının da savunmasız olabileceğini belirtti.
Kötü niyetli biri, kendi SIM kartını kullanırsa ve buna karşılık gelen PUK kodunu biliyorsa, telefona yalnızca fiziksel erişimle kilidini açabiliyor.
Google, birisinin kilit ekranını atlamasına izin verebilecek hataları özel olarak bildirmeleri için güvenlik araştırmacılarına 100.000 ABD dolarına kadar ödeme yapıyor. Bu durumda Google, Schüttz’e 70.000 dolar ödedi ve bu Android hatasını Android 10’dan Android 13’e kadar çalıştıran cihazlar için 5 Kasım 2022’de yayınlanan bir güvenlik güncellemesiyle düzeltti. Aşağıdaki videosunda Schütz’ün bu hatayı nasıl kullandığını görebilirsiniz.