FelsefeGezgini
Active member
Google, rastgele birinin, parolasını bilmeden Google Pixel telefonlarının kilidini açmasına müsaade veren bir güvenlik yanlışını özel olarak bildirdiği için bir güvenlik araştırmacısına 70.000 dolar ödedi
CVE-2022-20465 olarak isimlendirilen kilit ekranı kusuru, lokal bir ayrıcalık yükseltme yanılgısı olarak tanımlanıyor zira aygıt elinde olan birinin kilit ekranına girmek zorunda kalmadan aygıtın datalarına erişmesine müsaade veriyor. Macar araştırmacı David Schütz, yanılgıdan yararlanmanın son derece sıradan olduğunu fakat Google’ın düzeltmesinin yaklaşık beş ay sürdüğünü söylemiş oldu.
Schütz, bir Google Pixel telefona fizikî erişimi olan her insanın SIM kartını değiştirebileceğini ve Android işletim sisteminin kilit ekranı muhafazalarını atlamak için önce ayarlanmış kurtarma kodunu girebileceğini keşfetti. Kusur hakkında yayınlanan bir blog gönderisinde yanılgının düzeltildiğini söyleyen Schütz, yanılgıyı kazara nasıl bulduğunu deklare etti ve Google’ın Android takımına bildirdi.
Android kilit ekranları, kullanıcıların telefon bilgilerini korumak için sayısal bir şifre, parola, bir desen yahut parmak izi yahut yüz tanıma kullanıyor. SIM kartlarda da bir hırsızın telefonu kullanımını engellemeyi amaçlayan bir PIN kodu müdafaası bulunuyor. Bir kullanıcı PIN kodunu üç kezden fazla yanlış girerse, SIM kartlarda ek bir şahsi kilit açma kodu yahut PUK bulunuyor. PUK kodları, ekseriyetle SIM kart paketine basılı olarak bulunuyor yahut direkt cep telefonu operatörünün müşteri hizmetlerinden edinilebiliyor.
Schütz, bu yanılgının, SIM kartın PUK kodunu girmenin, büsbütün yamalı Pixel 6 telefonunu ve eski Pixel 5’i kandırarak, kilit ekranını görsel olarak hiç göstermeden telefonunun ve bilgilerinin kilidini açmak için kâfi olduğu manasına geldiğini fark etti. Ayrıyeten, başka Android aygıtlarının da savunmasız olabileceğini belirtti.
Kötü niyetli biri, kendi SIM kartını kullanırsa ve buna karşılık gelen PUK kodunu biliyorsa, telefona sadece fizikî erişimle kilidini açabiliyor.
Google, birisinin kilit ekranını atlamasına müsaade verebilecek kusurları özel olarak bildirmeleri için güvenlik araştırmacılarına 100.000 ABD dolarına kadar ödeme yapıyor. Bu durumda Google, Schüttz’e 70.000 dolar ödedi ve bu Android yanlışını Android 10’dan Android 13’e kadar çalıştıran aygıtlar için 5 Kasım 2022’de yayınlanan bir güvenlik güncellemesiyle düzeltti. Aşağıdaki görüntüsünde Schütz’ün bu yanılgıyı nasıl kullandığını nazaranbilirsiniz.
Okumaya devam et...
CVE-2022-20465 olarak isimlendirilen kilit ekranı kusuru, lokal bir ayrıcalık yükseltme yanılgısı olarak tanımlanıyor zira aygıt elinde olan birinin kilit ekranına girmek zorunda kalmadan aygıtın datalarına erişmesine müsaade veriyor. Macar araştırmacı David Schütz, yanılgıdan yararlanmanın son derece sıradan olduğunu fakat Google’ın düzeltmesinin yaklaşık beş ay sürdüğünü söylemiş oldu.
Schütz, bir Google Pixel telefona fizikî erişimi olan her insanın SIM kartını değiştirebileceğini ve Android işletim sisteminin kilit ekranı muhafazalarını atlamak için önce ayarlanmış kurtarma kodunu girebileceğini keşfetti. Kusur hakkında yayınlanan bir blog gönderisinde yanılgının düzeltildiğini söyleyen Schütz, yanılgıyı kazara nasıl bulduğunu deklare etti ve Google’ın Android takımına bildirdi.
Android kilit ekranları, kullanıcıların telefon bilgilerini korumak için sayısal bir şifre, parola, bir desen yahut parmak izi yahut yüz tanıma kullanıyor. SIM kartlarda da bir hırsızın telefonu kullanımını engellemeyi amaçlayan bir PIN kodu müdafaası bulunuyor. Bir kullanıcı PIN kodunu üç kezden fazla yanlış girerse, SIM kartlarda ek bir şahsi kilit açma kodu yahut PUK bulunuyor. PUK kodları, ekseriyetle SIM kart paketine basılı olarak bulunuyor yahut direkt cep telefonu operatörünün müşteri hizmetlerinden edinilebiliyor.
Schütz, bu yanılgının, SIM kartın PUK kodunu girmenin, büsbütün yamalı Pixel 6 telefonunu ve eski Pixel 5’i kandırarak, kilit ekranını görsel olarak hiç göstermeden telefonunun ve bilgilerinin kilidini açmak için kâfi olduğu manasına geldiğini fark etti. Ayrıyeten, başka Android aygıtlarının da savunmasız olabileceğini belirtti.
Kötü niyetli biri, kendi SIM kartını kullanırsa ve buna karşılık gelen PUK kodunu biliyorsa, telefona sadece fizikî erişimle kilidini açabiliyor.
Google, birisinin kilit ekranını atlamasına müsaade verebilecek kusurları özel olarak bildirmeleri için güvenlik araştırmacılarına 100.000 ABD dolarına kadar ödeme yapıyor. Bu durumda Google, Schüttz’e 70.000 dolar ödedi ve bu Android yanlışını Android 10’dan Android 13’e kadar çalıştıran aygıtlar için 5 Kasım 2022’de yayınlanan bir güvenlik güncellemesiyle düzeltti. Aşağıdaki görüntüsünde Schütz’ün bu yanılgıyı nasıl kullandığını nazaranbilirsiniz.
Okumaya devam et...