Android ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಲ್ಲಿ (CVE-2022-20465) ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು SIM ಕಾರ್ಡ್ ಅನ್ನು ಮರುಹೊಂದಿಸುವ ಮೂಲಕ ಮತ್ತು PUK ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ ಸ್ಕ್ರೀನ್ ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು Google Pixel ಸಾಧನಗಳಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗಿದೆ, ಆದರೆ ಫಿಕ್ಸ್ ಮುಖ್ಯ Android ಕೋಡ್ಬೇಸ್ನ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದರಿಂದ, ಸಮಸ್ಯೆಯು ಇತರ ತಯಾರಕರಿಂದ ಫರ್ಮ್ವೇರ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಸಾಧ್ಯತೆಯಿದೆ. ಈ ಸಮಸ್ಯೆಯನ್ನು ನವೆಂಬರ್ ಆಂಡ್ರಾಯ್ಡ್ ಸೆಕ್ಯುರಿಟಿ ಪ್ಯಾಚ್ ರೋಲ್ಔಟ್ನಲ್ಲಿ ತಿಳಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಗಮನ ಸೆಳೆದ ಸಂಶೋಧಕರು Google ನಿಂದ $70 ಸಾವಿರ ಬಹುಮಾನವನ್ನು ಪಡೆದರು.
PUK ಕೋಡ್ (ಪರ್ಸನಲ್ ಅನ್ಬ್ಲಾಕಿಂಗ್ ಕೀ) ಅನ್ನು ನಮೂದಿಸಿದ ನಂತರ ತಪ್ಪಾದ ಅನ್ಲಾಕಿಂಗ್ ಪ್ರಕ್ರಿಯೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಇದನ್ನು ಪದೇ ಪದೇ ಪಿನ್ ಕೋಡ್ ಅನ್ನು ತಪ್ಪಾಗಿ ನಮೂದಿಸಿದ ನಂತರ ನಿರ್ಬಂಧಿಸಲಾದ ಸಿಮ್ ಕಾರ್ಡ್ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪುನರಾರಂಭಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಸ್ಕ್ರೀನ್ ಲಾಕ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು, ಪಿನ್ ಕೋಡ್ ರಕ್ಷಣೆಯನ್ನು ಹೊಂದಿರುವ ನಿಮ್ಮ ಫೋನ್ನಲ್ಲಿ ನಿಮ್ಮ ಸಿಮ್ ಕಾರ್ಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ. PIN ಕೋಡ್ನಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟ SIM ಕಾರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಿದ ನಂತರ, PIN ಕೋಡ್ ವಿನಂತಿಯನ್ನು ಮೊದಲು ಪರದೆಯ ಮೇಲೆ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ. ನೀವು ಪಿನ್ ಕೋಡ್ ಅನ್ನು ಮೂರು ಬಾರಿ ತಪ್ಪಾಗಿ ನಮೂದಿಸಿದರೆ, ಸಿಮ್ ಕಾರ್ಡ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ, ನಂತರ ಅದನ್ನು ಅನ್ಲಾಕ್ ಮಾಡಲು PUK ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸಲು ನಿಮಗೆ ಅವಕಾಶವನ್ನು ನೀಡಲಾಗುತ್ತದೆ. PUK ಕೋಡ್ ಅನ್ನು ಸರಿಯಾಗಿ ನಮೂದಿಸುವುದು ಸಿಮ್ ಕಾರ್ಡ್ ಅನ್ನು ಅನ್ಲಾಕ್ ಮಾಡುವುದಲ್ಲದೆ, ಮುಖ್ಯ ಪಾಸ್ವರ್ಡ್ ಅಥವಾ ಮಾದರಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರವೇಶವನ್ನು ದೃಢೀಕರಿಸದೆ ಸ್ಕ್ರೀನ್ ಸೇವರ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮೂಲಕ ಮುಖ್ಯ ಇಂಟರ್ಫೇಸ್ಗೆ ಪರಿವರ್ತನೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ ಎಂದು ಅದು ಬದಲಾಯಿತು.
ಹೆಚ್ಚುವರಿ ದೃಢೀಕರಣ ಪರದೆಯನ್ನು ಪ್ರದರ್ಶಿಸಲು ಜವಾಬ್ದಾರರಾಗಿರುವ KeyguardSimPukViewController ಹ್ಯಾಂಡ್ಲರ್ನಲ್ಲಿ PUK ಕೋಡ್ಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ತರ್ಕದಲ್ಲಿನ ದೋಷದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. Android ಹಲವಾರು ರೀತಿಯ ದೃಢೀಕರಣ ಪರದೆಗಳನ್ನು ಬಳಸುತ್ತದೆ (PIN, PUK, ಪಾಸ್ವರ್ಡ್, ಪ್ಯಾಟರ್ನ್, ಬಯೋಮೆಟ್ರಿಕ್ ದೃಢೀಕರಣಕ್ಕಾಗಿ) ಮತ್ತು ಈ ಪರದೆಗಳನ್ನು ಹಲವಾರು ತಪಾಸಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಬೇಕಾದಾಗ ಅನುಕ್ರಮವಾಗಿ ಕರೆಯಲಾಗುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, PIN ಮತ್ತು ನಮೂನೆ ಅಗತ್ಯವಿರುವಾಗ.
ನೀವು ಪಿನ್ ಕೋಡ್ ಅನ್ನು ಸರಿಯಾಗಿ ನಮೂದಿಸಿದರೆ, ಎರಡನೇ ಹಂತದ ಪರಿಶೀಲನೆಯನ್ನು ಪ್ರಚೋದಿಸಲಾಗುತ್ತದೆ, ನೀವು ಮುಖ್ಯ ಅನ್ಲಾಕ್ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಅಗತ್ಯವಿದೆ, ಆದರೆ ನೀವು PUK ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸಿದಾಗ, ಈ ಹಂತವನ್ನು ಬಿಟ್ಟುಬಿಡಲಾಗುತ್ತದೆ ಮತ್ತು ಮುಖ್ಯ ಪಾಸ್ವರ್ಡ್ ಅಥವಾ ಪ್ಯಾಟರ್ನ್ ಕೀಯನ್ನು ಕೇಳದೆಯೇ ಪ್ರವೇಶವನ್ನು ನೀಡಲಾಗುತ್ತದೆ. . ಮುಂದಿನ ಅನ್ಲಾಕಿಂಗ್ ಹಂತವನ್ನು ತಿರಸ್ಕರಿಸಲಾಗಿದೆ ಏಕೆಂದರೆ KeyguardSecurityContainerController#dismiss() ಗೆ ಕರೆ ಮಾಡುವಾಗ ನಿರೀಕ್ಷಿತ ಮತ್ತು ಅಂಗೀಕರಿಸಿದ ಪರಿಶೀಲನಾ ವಿಧಾನಗಳ ನಡುವೆ ಯಾವುದೇ ಹೋಲಿಕೆ ಇರುವುದಿಲ್ಲ, ಅಂದರೆ. ಪರಿಶೀಲನಾ ವಿಧಾನವು ಬದಲಾಗಿಲ್ಲ ಎಂದು ಪ್ರೊಸೆಸರ್ ನಂಬುತ್ತದೆ ಮತ್ತು PUK ಕೋಡ್ ಪರಿಶೀಲನೆಯ ಪೂರ್ಣಗೊಳಿಸುವಿಕೆಯು ಅಧಿಕಾರದ ಯಶಸ್ವಿ ದೃಢೀಕರಣವನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಯನ್ನು ಆಕಸ್ಮಿಕವಾಗಿ ಕಂಡುಹಿಡಿಯಲಾಯಿತು - ಬಳಕೆದಾರರ ಫೋನ್ ಸತ್ತಿದೆ ಮತ್ತು ಅದನ್ನು ಚಾರ್ಜ್ ಮಾಡಿ ಮತ್ತು ಆನ್ ಮಾಡಿದ ನಂತರ, ಪಿನ್ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವಾಗ ಅವನು ಹಲವಾರು ಬಾರಿ ತಪ್ಪು ಮಾಡಿದನು, ನಂತರ ಅವನು ಅದನ್ನು PUK ಕೋಡ್ನೊಂದಿಗೆ ಅನ್ಲಾಕ್ ಮಾಡಿದನು ಮತ್ತು ಸಿಸ್ಟಮ್ ಕೇಳದಿರುವುದು ಆಶ್ಚರ್ಯವಾಯಿತು ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸುವ ಮುಖ್ಯ ಪಾಸ್ವರ್ಡ್ಗಾಗಿ, ಅದರ ನಂತರ ಅದು "ಪಿಕ್ಸೆಲ್ ಪ್ರಾರಂಭವಾಗುತ್ತಿದೆ..." ಎಂಬ ಸಂದೇಶದೊಂದಿಗೆ ಸ್ಥಗಿತಗೊಳ್ಳುತ್ತದೆ. ಸಿಮ್ ಕಾರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಿದ ನಂತರ ಸಾಧನವನ್ನು ರೀಬೂಟ್ ಮಾಡಲು ಆಕಸ್ಮಿಕವಾಗಿ ಮರೆತುಹೋಗುವವರೆಗೆ ಮತ್ತು ಪರಿಸರಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವವರೆಗೆ ಬಳಕೆದಾರರು ನಿಖರವಾಗಿ ಏನಾಗುತ್ತಿದೆ ಎಂಬುದನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಿರ್ಧರಿಸಿದರು ಮತ್ತು PIN ಮತ್ತು PUK ಕೋಡ್ಗಳನ್ನು ವಿವಿಧ ರೀತಿಯಲ್ಲಿ ನಮೂದಿಸುವ ಪ್ರಯೋಗವನ್ನು ಪ್ರಾರಂಭಿಸಿದರು. ಘನೀಕರಿಸುವ.
ದುರ್ಬಲತೆಯ ಪ್ರಕಟಣೆಗೆ Google ನ ಪ್ರತಿಕ್ರಿಯೆಯು ನಿರ್ದಿಷ್ಟ ಆಸಕ್ತಿಯಾಗಿದೆ. ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಜೂನ್ನಲ್ಲಿ ಕಳುಹಿಸಲಾಗಿದೆ, ಆದರೆ ಸೆಪ್ಟೆಂಬರ್ ವರೆಗೆ ಸಂಶೋಧಕರು ಇನ್ನೂ ಸ್ಪಷ್ಟ ಉತ್ತರವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ. ಈ ದೋಷವನ್ನು ವರದಿ ಮಾಡಿದ ಮೊದಲಿಗನಲ್ಲ ಎಂಬ ಅಂಶದಿಂದ ಈ ನಡವಳಿಕೆಯನ್ನು ವಿವರಿಸಲಾಗಿದೆ ಎಂದು ಅವರು ನಂಬಿದ್ದರು. 90 ದಿನಗಳ ನಂತರ ಬಿಡುಗಡೆಯಾದ ಫರ್ಮ್ವೇರ್ ಅಪ್ಡೇಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ ಸಮಸ್ಯೆಯು ಸರಿಪಡಿಸದೆ ಉಳಿದಿರುವಾಗ, ಹೇಳಲಾದ ಬಹಿರಂಗಪಡಿಸದಿರುವ ಅವಧಿಯು ಈಗಾಗಲೇ ಮುಕ್ತಾಯಗೊಂಡಾಗ ಸೆಪ್ಟೆಂಬರ್ನಲ್ಲಿ ಏನೋ ತಪ್ಪಾಗಿದೆ ಎಂಬ ಅನುಮಾನಗಳು ಹುಟ್ಟಿಕೊಂಡವು.
ಸಮಸ್ಯೆಯ ಕುರಿತು ಕಳುಹಿಸಿದ ಸಂದೇಶದ ಸ್ಥಿತಿಯನ್ನು ಕಂಡುಹಿಡಿಯುವ ಎಲ್ಲಾ ಪ್ರಯತ್ನಗಳು ಸ್ವಯಂಚಾಲಿತ ಮತ್ತು ಟೆಂಪ್ಲೇಟ್ ಪ್ರತ್ಯುತ್ತರಗಳಿಗೆ ಕಾರಣವಾದ ಕಾರಣ, ಸಂಶೋಧಕರು ಪರಿಸ್ಥಿತಿಯನ್ನು ಸ್ಪಷ್ಟಪಡಿಸಲು Google ಉದ್ಯೋಗಿಗಳನ್ನು ವೈಯಕ್ತಿಕವಾಗಿ ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸಿದರು ಮತ್ತು Google ನ ಲಂಡನ್ ಕಚೇರಿಯಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಪ್ರದರ್ಶಿಸಿದರು. . ಇದರ ನಂತರವೇ ದುರ್ಬಲತೆಯನ್ನು ತೊಡೆದುಹಾಕುವ ಕೆಲಸ ಮುಂದುವರಿಯಿತು. ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, ಯಾರಾದರೂ ಸಮಸ್ಯೆಯನ್ನು ಮೊದಲೇ ವರದಿ ಮಾಡಿದ್ದಾರೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ, ಆದರೆ Google ಒಂದು ವಿನಾಯಿತಿಯನ್ನು ಮಾಡಲು ನಿರ್ಧರಿಸಿದೆ ಮತ್ತು ಸಮಸ್ಯೆಯನ್ನು ಮತ್ತೊಮ್ಮೆ ವರದಿ ಮಾಡಿದ್ದಕ್ಕಾಗಿ ಪ್ರತಿಫಲವನ್ನು ಪಾವತಿಸಲು ನಿರ್ಧರಿಸಿದೆ, ಏಕೆಂದರೆ ಸಮಸ್ಯೆಯು ಗಮನಕ್ಕೆ ಬಂದಿರುವುದು ಅದರ ಲೇಖಕರ ನಿರಂತರತೆಗೆ ಧನ್ಯವಾದಗಳು.
ಮೂಲ: opennet.ru