يقال إن الثغرة الأمنية التي تؤثر على "جميع" هواتف Google Pixel على ما يبدو قد سمحت للوافدين غير المرغوب فيهم بالوصول إلى جهاز Pixel مغلق.
وفقًا لمدونة بواسطة باحث الأمن السيبراني David Schütz، الذي أقنع تقرير الخطأ الخاص به Google باتخاذ إجراء، تم تصحيح الخطأ فقط لهواتف Android المعنية بعد التحديث الأمني في 5 نوفمبر 2022، بعد حوالي ستة أشهر من التقديم. تقرير الشوائب الخاص به.
الثغرة الأمنية، التي يتم تتبعها كـ CVE-2022-20465، سمحت للمهاجم الذي لديه وصول مادي لتجاوز حماية شاشة القفل، مثل بصمة الإصبع ورقم التعريف الشخصي، والحصول على وصول كامل إلى جهاز المستخدم.
وفقًا لمدونة بواسطة باحث الأمن السيبراني David Schütz، الذي أقنع تقرير الخطأ الخاص به Google باتخاذ إجراء، تم تصحيح الخطأ فقط لهواتف Android المعنية بعد التحديث الأمني في 5 نوفمبر 2022، بعد حوالي ستة أشهر من التقديم. تقرير الشوائب الخاص به.
الثغرة الأمنية، التي يتم تتبعها كـ CVE-2022-20465، سمحت للمهاجم الذي لديه وصول مادي لتجاوز حماية شاشة القفل، مثل بصمة الإصبع ورقم التعريف الشخصي، والحصول على وصول كامل إلى جهاز المستخدم.
كيف يعمل الاستغلال؟
قال شوتز، الذي ادعى أنه تم تجاهل تقرير خطأ سابق لباحث آخر يشير إلى المشكلة، إن الاستغلال كان بسيطًا ويمكن تكراره بسهولة.
لقد تضمن قفل بطاقة SIM عن طريق إدخال رقم التعريف الشخصي الخطأ ثلاث مرات، وإعادة إدخال علبة SIM، وإعادة تعيين رمز PIN عن طريق إدخال رمز PUK الخاص ببطاقة SIM (والذي يجب أن يأتي مع العبوة الأصلية) ثم اختيار رمز PIN جديد.
نظرًا لأن المهاجم كان بإمكانه فقط إحضار بطاقة SIM الخاصة به المقفلة برقم التعريف الشخصي، فلم يكن مطلوبًا سوى الوصول المادي لتنفيذ الاستغلال، وفقًا لشوتز.
يمكن للمهاجمين المحتملين فقط تبديل بطاقة SIM هذه في جهاز الضحية، وتنفيذ الاستغلال باستخدام بطاقة SIM تحتوي على قفل PIN والتي يعرف المهاجم رمز PUK الصحيح لها.
يُحسب لشركة Google، على الرغم من خطورة الاستغلال، يدعي شوتز أنه بعد تقديم تقرير يوضح بالتفصيل الثغرة الأمنية، حضرت Google عملية الاستغلال في غضون 37 دقيقة.
على الرغم من أن شولتز لم يقدم أي دليل، فقد افترض أن بائعي Android الآخرين ربما تأثروا. هذا ممكن بالتأكيد، لأن Android هو نظام تشغيل مفتوح المصدر.
هذه ليست المرة الأولى التي يكشف فيها باحث أمني عن عيوب أمنية خطيرة داخل هواتف Android أيضًا.
في أبريل 2022، اكتشف Check Point Research (CPR) عيبًا كان من المحتمل أن يجعل عددًا كبيرًا من هواتف Android عرضة لتنفيذ التعليمات البرمجية عن بُعد، إذا تُركت دون تصحيح، بسبب نقاط الضعف الموجودة داخل وحدات فك ترميز الصوت في Qualcomm ورقائق ميديا تيك.