پاداش ۷۰ هزار دلاری گوگل برای برطرف کننده باگ امنیتی اندروید

به گزارش کارگروه امنیت سایبربان ؛ یک محقق مجارستانی موفق شده یک باگ امنیتی را در گوشی‌های اندرویدی برطرف کند و از گوگل پاداش ۷۰ هزار دلاری دریافت کند. Schütz روشی برای باز کردن قفل گوشی‌های اندرویدی بدون نیاز به پسورد پیدا کرده است و از این طریق توانسته یک آسیب‌پذیری جدی به نام CVE-۲۰۲۲-۲۰۴۶۵ را برطرف کند. در این آسیب‌پذیری، هکر‌ها می‌توانند قفل گوشی قربانی را بدون نیاز به وارد کردن هیچ پسوردی باز کنند.

آقای Schütz گفته است که به‌طور اتفاقی توانسته این مشکل را رفع کند. او ظاهرا درحال سفر بوده است که متوجه شد گوشی پیکسل‌اش با ارسال چند پیام خاموش شد. او گوشی را به شارژر می‌زند و آن را ریبوت می‌کند. گوشی از او پین سیم‌کارت را می‌خواهد و از آنجایی که این پین با پسورد صفحه قفل گوشی متفاوت بود، Schütz آن را نمی‌دانست. او سپس مجبور شد با اپراتور خود تماس بگیرد و با وارد کردن یک کد، پین سیم‌کارت را ریست کند.

این کد یک کد آنلاک شخصی موسوم به PUK بود که معمولا در پشت جعبه سیم‌کارت حک می‌شود. کاربران می‌توانند از طریق تماس با اپراتور نیز این کد را بگیرند. Schütz از طریق تماس توانست این کد را بگیرد و وارد کند. با وارد کردن این کد، پین سیم‌کارت ریست شد و گوشی پیکسل از Schütz خواست که اثر انگشت خودش را اسکن کند تا قفل گوشی را باز شود.

این تجربه بد باعث شد تا Schütz به فکر پیدا کردن روشی برای انجام این کار‌ها بدون نیاز به ریبوت کردن گوشی بیفتد. او گفته که این روش او، روی گوشی‌های پیکسل ۶ و ۵ کار می‌کند و حالا گوگل با دریافت ایده او توانسته مشکل باز شدن قفل گوشی‌های اندرویدی بدون نیاز به پسورد را حل کند. ظاهرا گوشی‌هایی که هنوز آپدیت امنیتی ماه نوامبر ۲۰۲۲ اندروید ۱۰ به بالا را نصب نکرده‌اند در معرض این آسیب‌پذیری هستند.