De ontdekking van een kwetsbaarheid bij Google Pixel-smartphones heeft Hongaar David Schütz 70.000 dollar opgeleverd. Hij vond een manier om het vergrendelingsscherm van de Android-toestellen te omzeilen.
Hoewel David een ‘bug-premiejager’ van beroep is, vond hij deze kwetsbaarheid bij toeval, na het vergeten van de pincode voor zijn simkaart. Het viel hem op dat zijn telefoon na het invoeren van de pukcode meteen ontgrendeld werd, zonder eerst nog voor een ingestelde pincode/wachtwoord te vragen.
Nader onderzoek wees uit dat alleen de biometrische beveiliging nog werkte na invoer van de pukcode, en als deze van tevoren ‘uitgeschakeld’ wordt (door meerdere keren een verkeerde vingerafdruk te gebruiken), wordt de telefoon meteen na het invoeren van die pukcode ontgrendeld.
Iemand met kwade bedoelingen zou je telefoon dus kunnen ontgrendelen door simpelweg de simkaart te vervangen, wat verkeerde codes in te voeren, en dan een juiste pukcode op te geven.
David meldde het probleem bij Google, en na maanden van wachten, onzekerheid over een mogelijke beloning en uiteindelijk zelfs enigszins dreigen met het openbaren van de kwetsbaarheid door David is de omzeiling nu eindelijk gepatcht (CVE-2022-20465) in de Android-beveiligingsupdate van deze maand.
Het feit dat de patch in de algemene Android-update zit, en dus niet apart voor alleen de Pixel-toestellen uitkomt, zou kunnen betekenen dat de kwetsbaarheid ook bij andere nog niet geüpdatete Android-toestellen aanwezig is. David wordt in ieder geval beloond voor zijn moeite, met 70.000 dollar.
Bron: David Schütz' Blog
