چگونه از این نقص امنیتی ایمن بمانیم؟
گوشی های هوشمند اندرویدی دارای سطوح امنیتی متعددی هستند، اما در شرایط خاصی می توان آن ها را دور زد. یک محقق امنیتی کشف کرد که چگونه می توان از لاک اسکرین گوشی هوشمند گوگل پیکسل به روز شده عبور کرد. اگرچه گوگل به سرعت تصدیق کرده و یک پچ امنیتی را منتشر کرد اما این احتمال وجود دارد که هزاران گوشی هوشمند اندرویدی از تولیدکنندگان دیگر آسیب پذیر باقی بمانند.
تمام سطوح امنیتی اندروید “به طور تصادفی” دور زده شد!
دیوید شوتز محقق امنیت سایبری، راهی برای دور زدن لاک اسکرین گوشی هوشمند اندرویدی پیدا کرد. او موفق شد یافته های خود را در مورد ” گوشی های هوشمند کاملا اصلاح شده گوگل پیکسل ۶ و پیکسل ۵″ تایید کند. در اختیار داشتن فیزیکی دستگاه مورد نظر ضروری ست، اما این روند کوتاه است.
دیوید ادعا می کند که بهره برداری از این آسیب پذیری برای دور زدن لاک اسکرین در گوشی های اندرویدی بیش از پنج مرحله ساده طول نمی کشد! او این آسیب پذیری را پس از تخلیه کامل باتری پیکسل ۶ خود و سه بار اشتباه وارد کردن پین اش کشف کرد. با وارد کردن جزئیات احراز هویت نادرست، ممکن است یک دستگاه Android سیم کارت را قفل کند و به کد PUK (Personal Unblocking Key) نیاز داشته باشد.
دیوید متوجه شد که پس از باز کردن قفل سیم کارت و انتخاب یک پین جدید، دستگاه او مستقیماً به اسکن اثر انگشت رفت. یک گوشی هوشمند اندرویدی پس از راه اندازی مجدد، ابتدا باید رمز عبور لاک اسکرین را درخواست کند. به طور عجیبی، اگر دستگاه راه اندازی مجدد نشود، می توان از این آسیب پذیری سوء استفاده کرد، زیرا در این مورد حتی اسکن اثر انگشت نیز دور زده می شود.
این نقص امنیتی “دور زدن” اندروید ۱۰، ۱۱، ۱۲ و ۱۳ را تحت تاثیر قرار می دهد
به نظر می رسد این نقص در روشی وجود دارد که دستگاه های Android پس از بررسی وضعیت سیم کارت و وضعیت PUK، عملکرد dismiss یا «رد کردن» را فراخوانی می کنند. این نقص امنیتی می تواند به افراد اجازه دهد به داده های دستگاه هایی که متعلق به آن ها نیستند دسترسی داشته باشند. گوگل این نقص را پذیرفته و حتی به محقق امنیتی برای هشدار مسئولانه به شرکت پاداش داده است.
گوگل برای رفع این آسیب پذیری پچ امنیتی ای منتشر کرده است. به وسیله این پیشرفت، یک پارامتر جدید برای روش امنیتی به نام “رد کردن” در هر ارتباطی استفاده می شود. به عبارت ساده، سیستم عامل اندروید نصب شده پس از هر اقدام، یک بررسی امنیتی وارد می کند.
به روزرسانی امنیتی ۷ نوامبر ۲۰۲۲ حاوی پچی ست که برای رفع آسیب پذیری امنیتی طراحی شده است. این پچ برای اندروید ۱۰، ۱۱، ۱۲ و ۱۳ در دسترس است. از این رو، به روز نگه داشتن گوشی ها مهم است. اگرچه گوگل این پچ امنیتی را منتشر کرده است، اما چندین تولیدکننده گوش یهای هوشمند اندرویدی به روزرسانی های منظم را برای دستگاه های قدیمی تر خود ارسال نمی کنند؛ پس بسیاری از گوشی های اندرویدی همچنان می توانند در برابر این نقص امنیتی آسیب پذیر باقی بمانند.