研究人員David Schutz發現,Android手機關機後重啟動,PIN碼輸入錯誤導致解鎖失敗後,允許重設PIN碼的過程含有安全漏洞(CVE-2022-20465),讓攻擊者得以透過置換SIM卡後不需輸入密碼,即可取得手機完整控制權。上圖為Schutz展示該漏洞的PoC影片截圖。(翻攝自https://tinyurl.com/273coz8u)
研究人員發現,Android一項漏洞能讓攻擊者不必輸入密碼解鎖螢幕鎖,即可存取手機資料。
匈牙利研究人員David Schutz首先在Google Pixel手機發現這項漏洞。編號CVE-2022-20465的漏洞,讓攻擊者能繞過螢幕鎖定防護,不論是指紋、密碼或其他方式,而完整存取手機,如果他能直接接觸到手機的話。他11月初通報該漏洞,Google已在11月5日的Android安全更新予以修補。
這個漏洞出現在手機關機後重啟動,SIM卡要求輸入密碼,稱為PIN(Personal identification Number)碼。PIN碼一旦輸入錯誤3次以上,解鎖就會失敗。但用戶還有最後一線生機,即輸入PUK碼(Personal Identification Number Unlock Key,又稱為「個人解鎖碼」)解鎖SIM卡。PUK碼通常印在SIM卡包裝上,也可以透過電信公司的客服支援電話取得。
研究人員發現,這時如果攻擊者將手機原來的SIM卡換成自己的,並且按錯3次PIN碼,就會被要求輸入PUK碼。由於SIM卡是攻擊者的,只要輸入正確PUK碼,Google Pixel手機即允許重新設定PIN碼,然後啟動並載入主頁,過程中連Android的螢幕鎖定畫面都未顯示,意謂著攻擊者也不需輸入密碼,即可取得手機完整控制權。
Schutz在Google Pixel 6及前一代的Pixel 5手機成功實驗這次破解,但他說其他Android手機也可能受這漏洞影響。
研究人員於6月通報這項漏洞,不過Google經過反覆調查,才在10月複製並確認這項漏洞。Google並在11月5日的Android更新版中修補這項漏洞。研究人員最後獲得Google頒發7萬美元獎金。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 電子科技類
網站技術:PHP . Javascript/MySql
均豪專精於半導體、顯示器設備設計及製造,對於在社會回饋上也是相當重視,更體現了其對ESG和SDGs概念的關注,透過官網表達均豪對ESG永續發展的立場與積極的態度。
網頁設計.RWD響應式網站.企業形象網站 / 教育人文類
網站技術:PHP . Javascript/MySql
當學員完成課程,後續可以登入網站選擇自己的班級與課程再做複習或是進行親子互動。網站也會定期更新課程、相關商品與最新消息。 會員的申請方式需要學員並購買課程,由課程老師建立資料後就可以登入網站練習喔!
精選專案.網頁設計.RWD響應式網站.活動網站 / 金融保險業
網站技術:Javascript
透過華南銀行所建立的華麗退退休理財工具,能夠更加瞭解對於退休該如何準備與規劃。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策