David Schütz, một chuyên gia bảo mật, đã tình cờ phát hiện ra rằng việc đổi sim có thể khiến điện thoại Google không yêu cầu nhập mật khẩu để mở khóa thiết bị. Lỗ hổng này cho phép kẻ gian sử dụng cách lắp sim khác và thực hiện 5 bước đơn giản để mở khóa màn hình nhiều dòng máy trong ít phút.
Ông Schütz đã báo cáo lỗi này cho Google vào tháng 6 nhưng đến ngày 7/11 mới khắc phục xong. Để tránh bị truy cập trái phép vào thiết bị, chuyên gia bảo mật này cũng khuyến cáo người dùng Android nên cập nhật bản vá mới nhất cho thiết bị của mình.
Schütz đã phát hiện ra lỗi này khi sử dụng Pixel 6. Sau một lần điện thoại của anh hết pin, khi khởi động lại thiết bị yêu cầu người dùng nhập mã PIN của SIM. Do không nhớ và nhập sai 3 lần nên sim của anh bị khóa và yêu cầu nhập mã PUK nếu muốn mở khóa.
Anh ấy đã làm theo và thay đổi mã PIN mới để mở khóa đăng ký. Tuy nhiên, sau khi mở khóa sim, chiếc Pixel 6 chỉ yêu cầu anh sử dụng dấu vân tay của mình để mở khóa thiết bị – điều lẽ ra không nên xảy ra. Nhà nghiên cứu thậm chí còn phát hiện ra rằng thiết bị thậm chí không yêu cầu dấu vân tay mà cho phép người dùng truy cập trực tiếp vào màn hình chính chỉ bằng mã mở khóa sim.
Lỗ hổng này sẽ gây ảnh hưởng lớn trong một số trường hợp như máy bị đánh cắp hoặc cơ quan thực thi pháp luật điều tra tội phạm.
Tất cả các thiết bị chạy Android phiên bản 10, 11, 12 và 13 chưa nhận được bản cập nhật vá lỗi tháng 11 đều bị ảnh hưởng bởi lỗ hổng này, theo thông báo của Google.
Để khai thác lỗ hổng này, kẻ gian chỉ cần sử dụng một chiếc sim có sẵn mã PUK, cố tình để sim bị khóa bằng cách nhập sai dấu vân tay và mã PIN nhiều lần, sau đó nhập mã PUK để mở khóa sim. có quyền truy cập không giới hạn vào máy.
Đầu tháng 11, Google đã công bố lỗ hổng với tên mã CVE-2022-20465. Schütz đã được thưởng 70.000 đô la cho các báo cáo của mình. Google khuyến nghị người dùng thiết bị Android, đặc biệt là thiết bị Pixel, cập nhật hệ điều hành lên phiên bản mới nhất để khắc phục lỗi.
(Tham khảo QTM)
Bài viết gốc: https://gamek.vn/lo-hong-lon-tren-dien-thoai-android-cho-phep-mo-khoa-chi-bang-cach-thay-sim-178221117160013772.chn