باحث يكتشف ثغرة تمكن أي شخص من فتح شاشة القفل بهواتف أندرويد

عثر الباحث في الأمن السيبراني ديفيد شوتز، على طريقة لفتح شاشة القفل بالصدفة على هواتفه الذكية Google Pixel 6 وPixel 5، ما يتيح لأي شخص فتح الجهاز بسهولة.

وحسب bleepingcomputer، يعد استغلال الثغرة الأمنية لتجاوز شاشة القفل على هواتف أندرويد عملية بسيطة من 5 خطوات لن تستغرق أكثر من بضع دقائق.

مع ذلك قامت جوجل بإصلاح مشكلة الأمان في آخر تحديث لنظام أندرويد تم إصداره الأسبوع الماضي، لكنها كانت متاحة للاستغلال لمدة 6 أشهر على الأقل.

مقالات ذات صلة

تطبيقات تضر هاتفك دون أن تعلم.. ونصائح لتجنبها
أغسطس 26, 2022 – 2:00 م

لمستخدمي آيفون.. 4 تصرفات خاطئة تستهلك البطارية بسرعة
يوليو 6, 2022 – 9:00 ص

اكتشاف بالصدفة

يقول «شوتز» إنه اكتشف الخلل عن طريق الصدفة بعد نفاد بطارية هاتفه Pixel 6، حيث أدخل رقم التعريف الشخصي الخاص به بشكل خاطئ 3 مرات، واستعاد بطاقة SIM المقفلة باستخدام رمز PUK (مفتاح فك القفل الشخصي).

وبعد فتح بطاقة SIM واختيار رقم تعريف شخصي جديد، لم يطلب الجهاز كلمة مرور شاشة القفل، ولكنه طلب فقط مسح بصمة الإصبع.

رغم أن أجهزة أندرويد تطلب دائمًا كلمة مرور أو نمط قفل الشاشة عند إعادة التشغيل لأسباب أمنية، لذلك لم يكن الانتقال مباشرة إلى إلغاء القفل ببصمة الإصبع أمرًا طبيعيًا.

واصل الباحث إجراء التجارب، وعندما حاول إعادة إنتاج الخلل دون إعادة تشغيل الجهاز والبدء من حالة غير مقفلة، اكتشف أنه من الممكن تجاوز موجه بصمات الأصابع أيضًا، والانتقال مباشرة إلى الشاشة الرئيسية.

تأثير هذه الثغرة الأمنية واسع جدًا، حيث يؤثر على جميع الأجهزة التي تعمل بإصدارات Android 10 و11 و12 و13 التي لم يتم تحديثها إلى مستوى التصحيح في نوفمبر 2022.

فيما لا يزال الخلل يحمل تداعيات خطيرة على الأشخاص الذين يسيئون إلى الأزواج، والذين يخضعون لتحقيقات إنفاذ القانون، وأصحاب الأجهزة المسروقة، وما إلى ذلك.

فيمكن للمتعدي ببساطة استخدام بطاقة SIM الخاصة به على الجهاز المستهدف، وتعطيل المصادقة البيومترية (عملية أمنية تعتمد على السمات البيولوجية مثل بصمات الأصابع وقزحية العين والأصوات وميزات الوجه وغيرها)، وإدخال رقم التعريف الشخصي الخطأ 3 مرات، وتوفير رقم PUK، والوصول إلى جهاز الضحية دون قيود.

لذلك، أبلغ «شوتز» جوجل عن الخلل في يونيو 2022، وعلى الرغم من أن شركة التكنولوجيا العملاقة قد أقرت بالاستلام وخصصت معرف CVE لـ CVE-2022-20465، إلا أنها لم تصدر إصلاحًا حتى 7 نوفمبر 2022.

على الرغم من أن تقرير «شوتز» كان مكررًا، فقد قدمت جوجل استثناءًا ومنحت الباحث 70 ألف دولار مقابل اكتشافه.

المصري لايت

Exit mobile version