Nailhan ang usa ka kahuyangan sa platform sa Android (CVE-2022-20465), nga nagtugot kanimo sa pag-disable sa lock sa screen pinaagi sa paghan-ay pag-usab sa SIM card ug pagsulod sa PUK code. Ang abilidad sa pag-disable sa lock gipakita sa Google Pixel device, apan tungod kay ang pag-ayo makaapekto sa nag-unang Android codebase, lagmit nga ang problema makaapekto sa firmware gikan sa ubang mga tiggama. Ang isyu gitubag sa Nobyembre Android security patch rollout. Ang tigdukiduki nga nagpunting sa atensyon sa problema nakadawat usa ka ganti nga $70 ka libo gikan sa Google.
Ang problema gipahinabo sa dili husto nga pagproseso sa pag-unlock human sa pagsulod sa PUK code (Personal Unblocking Key), nga gigamit aron ipadayon ang operasyon sa usa ka SIM card nga gibabagan human sa balik-balik nga pagsulod sa PIN code nga dili husto. Aron ma-disable ang screen lock, i-install lang ang imong SIM card sa imong telepono, nga adunay proteksyon sa PIN code. Human sa pag-ilis sa usa ka SIM card nga giprotektahan sa usa ka PIN code, usa ka hangyo sa PIN code ang unang gipakita sa screen. Kung sayop ang imong pagsulod sa PIN code tulo ka beses, ang SIM card ma-block, pagkahuman hatagan ka higayon nga mosulod sa PUK code aron maablihan kini. Nahibal-an nga ang husto nga pagsulod sa PUK code dili lamang mag-abli sa SIM card, apan modala ngadto sa usa ka transisyon sa main interface, pag-bypass sa screen saver, nga walay pagkumpirma sa pag-access gamit ang main password o pattern.
Ang pagkahuyang tungod sa usa ka sayup sa lohika sa pagsusi sa mga PUK code sa KeyguardSimPukViewController handler, nga responsable sa pagpakita sa dugang nga screen sa panghimatuud. Gigamit sa Android ang daghang mga klase sa mga screen sa pag-authenticate (alang sa PIN, PUK, password, pattern, biometric authentication) ug kini nga mga screen gitawag nga sunud-sunod kung kinahanglan nga himuon ang daghang mga pagsusi, pananglitan, kung gikinahanglan ang usa ka PIN ug pattern.
Kung imong gisulod ang PIN code sa husto, ang ikaduhang yugto sa pag-verify ma-trigger, nga nagkinahanglan kanimo sa pagsulod sa main unlock code, apan sa dihang imong gisulod ang PUK code, kini nga yugto malaktawan ug ang access gihatag nga walay pagpangayo sa nag-unang password o pattern key . Ang sunod nga yugto sa pag-abli gisalikway tungod kay kung nagtawag sa KeyguardSecurityContainerController#dismiss() walaβy pagtandi tali sa gipaabut ug gipasa nga mga pamaagi sa pag-verify, i.e. ang processor nagtuo nga ang pamaagi sa pag-verify wala mausab ug ang pagkompleto sa PUK code verification nagpakita sa usa ka malampuson nga pagkumpirma sa awtoridad.
Ang pagkahuyang nadiskubrehan sa aksidente - ang telepono sa tiggamit namatay ug pagkahuman sa pag-charge ug pag-on niini, nasayop siya sa makadaghang higayon sa pagsulod sa PIN code, pagkahuman gi-unlock niya kini gamit ang PUK code ug natingala nga ang sistema wala mangutana. alang sa nag-unang password nga gigamit sa pag-decrypt sa data, pagkahuman kini nagyelo sa mensahe nga "Nagsugod ang Pixel ...". Ang tiggamit nahimo nga mabinantayon, nakahukom nga mahibal-an kung unsa ang nahitabo ug nagsugod sa pag-eksperimento sa pagsulod sa PIN ug PUK code sa lainlaing mga paagi, hangtod nga wala tuyoa nga nakalimtan niya nga i-reboot ang aparato pagkahuman gibag-o ang SIM card ug nakuha ang pag-access sa palibot imbes nga kaging.
Ang partikular nga interes mao ang reaksyon sa Google sa pagpahibalo sa kahuyang. Ang kasayuran bahin sa problema gipadala kaniadtong Hunyo, apan hangtod sa Septyembre ang tigdukiduki wala gihapon makakuha usa ka tin-aw nga tubag. Nagtuo siya nga kini nga pamatasan gipatin-aw sa kamatuoran nga dili siya ang una nga nagreport sa kini nga sayup. Ang mga pagduda nga adunay usa ka butang nga sayup mitumaw sa Septyembre, sa dihang ang problema nagpabilin nga wala matul-id human sa pag-instalar sa update sa firmware nga gipagawas 90 ka adlaw sa ulahi, sa dihang ang gipahayag nga dili pagbutyag nga panahon natapos na.
Tungod kay ang tanan nga mga pagsulay aron mahibal-an ang kahimtang sa gipadala nga mensahe bahin sa problema nagdala lamang sa awtomatiko ug template nga mga tubag, ang tigdukiduki misulay sa pagkontak sa mga empleyado sa Google nga personal aron matin-aw ang sitwasyon uban ang pag-andam sa usa ka pag-ayo ug bisan ang gipakita ang pagkahuyang sa opisina sa Google sa London. . Pagkahuman lamang niini nagtrabaho aron mawagtang ang pagkahuyang nga nagpadayon. Atol sa pag-analisar, nahibal-an nga adunay nagreport na sa problema sa sayo pa, apan ang Google nakahukom nga maghimo usa ka eksepsiyon ug magbayad usa ka ganti alang sa pagreport pag-usab sa problema, tungod kay salamat lamang sa pagpadayon sa tagsulat niini nga ang problema namatikdan.
Source: opennet.ru