研究人員 David Schütz 發(fā)現(xiàn)了 Android 安全漏洞

在安全研究人員報告后，谷歌 Pixel 手機最近更新了一個安全漏洞修復程序，該漏洞允許用戶繞過鎖定屏幕。該公司本周早些時候宣布，它已開始在全球范圍內(nèi)為運行 Android 13 的 Pixel 智能手機推出 11 月的 Android 更新。此更新將在接下來的幾周內(nèi)逐步提供給 Pixel 用戶。除了帶來修復和改進外，此更新還包括 2022 年 11 月的 Android 安全補丁，其中包括一個錯誤修復，該補丁解決了允許人們使用 SIM 卡繞過鎖定屏幕的安全問題。

安全研究員 David Schütz在 2022 年 11 月的 Android 安全補丁更新中發(fā)現(xiàn)了一個安全漏洞，該漏洞被跟蹤為 CVE-2022-20465。它允許對 Pixel 智能手機進行物理訪問的攻擊者繞過指紋、PIN 和圖案等鎖屏安全措施。

Schütz 演示了Pixel 6上的漏洞，該漏洞允許人們通過更換 SIM 卡并錯誤輸入 SIM PIN 3 次來繞過生物識別。然后設(shè)備會要求提供個人解鎖密鑰 (PUK) 代碼。 正確輸入 PUK 碼，手機會要求輸入該 SIM 卡的新 PIN 碼。然后，手機將解鎖并將用戶帶到主屏幕，并可以完全訪問設(shè)備。

Schütz 已通過 Android 漏洞獎勵計劃向Google報告了此錯誤。等了幾個月后，他因發(fā)現(xiàn)安全漏洞而獲得了 70,000 美元(約合 56,57,000 盧比)的獎勵。它現(xiàn)在在 11 月的安全補丁中 [列出] 為高嚴重性系統(tǒng)問題。它還包含在 Android 10、11、12、12L 和 13 的 Android 開源項目 (AOSP) 版本中。