Chiwopsezo chadziwika papulatifomu ya Android (CVE-2022-20465) yomwe imalola kuletsa loko posinthana ndi SIM khadi ndikulowetsa nambala ya PUK. Kutha kuletsa loko kwawonetsedwa pazida za Google Pixel, koma popeza kukonza kumakhudza codebase yayikulu ya Android, zikutheka kuti vutoli limakhudzanso firmware kuchokera kwa opanga ena. Nkhaniyi idayankhidwa mu Novembala Android Security Patch Roll. Wofufuza yemwe adafotokoza za vutoli adalandira mphotho ya $70 kuchokera ku Google.
Nkhaniyi imayamba chifukwa cha kusatsegula kolakwika pambuyo poti code ya PUK (Personal Unblocking Key) yalowetsedwa, yomwe imagwiritsidwa ntchito poyambitsanso SIM khadi yomwe yatsekedwa pambuyo pa ma PIN angapo olakwika. Kuti mulepheretse loko yotchinga, zomwe muyenera kuchita ndikuyika SIM khadi yanu mufoni yanu, yomwe ili ndi chitetezo chochokera ku PIN. Pambuyo posintha SIM khadi yotetezedwa ndi PIN, pempho la PIN code limawonetsedwa koyamba pazenera. Ngati nambala ya PIN yalowetsedwa molakwika katatu, SIM khadi idzatsekedwa, pambuyo pake mudzapatsidwa mwayi wolowetsa PUK code kuti mutsegule. Zinapezeka kuti kulowa kolondola kwa kachidindo ka PUK sikumangotsegula SIM khadi, koma kumabweretsa kusintha kwa mawonekedwe akuluakulu kudutsa chosungira chophimba, osatsimikizira mwayi wogwiritsa ntchito mawu achinsinsi kapena mawonekedwe.
Chiwopsezochi chimayamba chifukwa cha zolakwika mumalingaliro owonera ma PUK ma code mu KeyguardSimPukViewController chogwirizira, chomwe chili ndi udindo wowonetsa chinsalu chowonjezera chotsimikizira. Android imagwiritsa ntchito mitundu ingapo ya zowonetsera zotsimikizira (za PIN, PUK, mawu achinsinsi, pateni, kutsimikizira kwa biometric) ndipo zowonetsera izi zimaperekedwa motsatizana pakafunika kutsimikizira kangapo, monga nthawi yomwe PIN ndi pateni zimafunikira.
Ngati nambala ya PIN yalowetsedwa molondola, gawo lachiwiri lotsimikizira limayambika, lomwe likufuna kulowetsa nambala yotsegula, koma polowa nambala ya PUK, siteji iyi imadumphidwa ndipo mwayi umaperekedwa popanda kufunsa chinsinsi chachikulu kapena chitsanzo. Gawo lotsatira lotsegula limatayidwa chifukwa pamene KeyguardSecurityContainerController#dismiss() imatchedwa, njira yoyembekezeka ndi yodutsa cheke sichikufanizidwa, mwachitsanzo. wogwirizira amawona kuti kusintha kwa njira yotsimikizira sikunachitike ndipo kukwaniritsidwa kwa kutsimikizika kwa code ya PUK kukuwonetsa kutsimikizira bwino kwa olamulira.
Chiwopsezocho chinapezeka mwangozi - foni ya wogwiritsa ntchitoyo inatha batire, ndipo atatha kulipiritsa ndikuyatsa, adalakwitsa polowetsa nambala ya PIN kangapo, pambuyo pake adatsegula PUK code ndipo adadabwa kuti dongosolo silinatero. pemphani mawu achinsinsi omwe amagwiritsidwa ntchito polemba deta, pambuyo pake idapachikidwa ndi uthenga "Pixel ikuyamba ...". Wogwiritsa ntchitoyo adakhala wosamala, adaganiza zozindikira zomwe zikuchitika ndipo adayamba kuyesa kulowa ma PIN ndi ma PUK m'njira zosiyanasiyana, mpaka adayiwala mwangozi kuyambitsanso chipangizocho atatha kusintha SIM khadi ndikupeza mwayi wofikira chilengedwe m'malo kuzizira.
Chochititsa chidwi kwambiri ndi kuyankha kwa Google ku lipoti lachiwopsezo. Zambiri za vutoli zidatumizidwa mu June, koma mpaka September, wofufuzayo sanathe kupeza yankho lomveka bwino. Iye ankaona kuti khalidweli linali chifukwa chakuti sanali woyamba kunena za vuto limeneli. Kukayikira kuti china chake sichikuyenda bwino kudayamba mu Seputembala pomwe vutolo lidakhalabe losakonzedwa pambuyo poti pulogalamu ya firmware idatulutsidwa patatha masiku 90, nthawi yomwe sinaulule itatha.
Popeza zoyesayesa zonse kuti adziwe momwe lipoti lavutoli lidaperekedwa lidangopangitsa kuti ma automated ndi template asalembetse, wofufuzayo adayesetsa kulumikizana ndi ogwira ntchito ku Google kuti afotokozere momwe zinthu ziliri ndikukonzekera kukonza, komanso kuwonetsa chiwopsezo muofesi ya Google ku London. Pambuyo pake, ntchito yochotsa chiwopsezo idapita patsogolo. Pakuwunika, zidapezeka kuti wina adafotokoza kale vutoli, koma Google idaganiza zopanga zosiyana ndikulipira mphotho yofotokozeranso vutoli, chifukwa zidangochitika chifukwa cha kupirira kwa wolemba wake kuti vutoli lidazindikirika. .
Source: opennet.ru