اكتشف باحث في الأمن السيبراني عن طريق الخطأ ثغرة تؤثر على معظم الأجهزة التي تعمل بنظام التشغيل Google Android.
قال الباحث David Schotts إنه وجد طريقة لتجاوز قفل الشاشة على اثنين من هواتفه الذكية ، Google Pixel 6 و Pixel 5. وأضاف أن الثغرة تسمح لأي شخص لديه وصول مادي إلى الجهاز لفتحه.
ووفقًا لما أظهرته Shots في الفيديو ، فإن استغلال الثغرة الأمنية لتجاوز شاشة القفل على هواتف Android هي عملية بسيطة من خمس خطوات لن تستغرق أكثر من بضع دقائق.
قامت Google بإصلاح مشكلة الأمان في تحديث Android الذي تم إصداره الأسبوع الماضي ، ولكن تم استغلال الثغرة الأمنية لأقل من ستة أشهر.
يقول Shutts إنه اكتشف الثغرة عن طريق الصدفة عندما نفدت بطارية هاتف Pixel 6. بإدخال رقم التعريف الشخصي بشكل غير صحيح ثلاث مرات ، تمكن من فتح بطاقة SIM باستخدام رمز PUK. بعد فتح بطاقة SIM واختيار رمز PIN جديد ، لم يطلب الجهاز كلمة مرور قفل الشاشة ، ولكنه طلب فقط مسح بصمة الإصبع.
تتطلب أجهزة Android دائمًا كلمة مرور أو نمطًا لقفل الشاشة عند إعادة التشغيل لأسباب أمنية ، لذا لم يكن القفز مباشرة لفتح بصمة الإصبع أمرًا طبيعيًا.
اقرأ ايضا: رصد هاتف Samsung Galaxy F04 في قاعدة بيانات BIS
استمر الباحث في التجربة ، وعندما حاول مرة أخرى دون إعادة تشغيل الجهاز ، وجد أنه من الممكن الانتقال مباشرة إلى الشاشة الرئيسية ، مما يعني أنه يمكنه تجاوز البصمة أيضًا ، بشرط أن يقوم صاحب الجهاز بإلغاء قفلها على الأقل. مرة واحدة بعد إعادة التشغيل.
يُشار إلى أن تأثير هذه الثغرة الأمنية واسع جدًا ، حيث إنها تؤثر على جميع الأجهزة التي تعمل بإصدارات: 10 و 11 و 12 و 13 من نظام التشغيل أندرويد الذي لم يتلق التحديث الأمني لشهر نوفمبر 2022.
على الرغم من أن الوصول المادي إلى الجهاز يعد شرطًا أساسيًا لاستغلال الثغرة الأمنية ، إلا أنه لا يزال له عواقب وخيمة ، خاصة بالنسبة لمالكي الأجهزة أو الأجهزة المسروقة التي يمكن للمهاجم الوصول إليها. يمكن للمهاجم استخدام بطاقة SIM الخاصة به على جهاز مستهدف ، وإدخال رمز PIN غير صحيح ثلاث مرات ، وتوفير رقم PUK ، والوصول إلى جهاز الضحية دون قيود.
أخطر شوتز جوجل بالثغرة الأمنية في يونيو. لم تصدر الشركة تصحيحًا لها حتى 7 نوفمبر ، على الرغم من اعترافها بوجود الثغرة الأمنية وتخصيصها المعرف CVE-2022-20465.
على الرغم من أن تقرير شوتز كان مكررًا ، إلا أن Google جعلت تقريره استثناءً ومنحته 70 ألف دولار للعثور على الثغرة الأمنية.
يمكن لمستخدمي Android 10 و 11 و 12 و 13 إصلاح الثغرة الأمنية عن طريق تثبيت تحديث أمني تم إطلاقه في 7 نوفمبر.