Android kilit ekranını parolasız geçmeyi başaran araştırıcı, Google’dan ufak bir servet kazandı

Google, herhangi birinin, parolasını bilmeden Google Pixel telefonlarının kilidini açmasına izin veren bir güvenlik kusurunu özel olarak bildirdiği için bir güvenlik araştırmacısına 70.000 dolar ödedi

CVE-2022-20465 olarak isimlendirilen kilit ekranı yanılgısı, yerel bir ayrıcalık yükseltme yanlışı olarak tanımlanıyor zira aygıt elinde olan birinin kilit ekranına girmek zorunda kalmadan aygıtın verilerine erişmesine izin veriyor. Macar araştırmacı David Schütz, kusurdan yararlanmanın son derece kolay olduğunu lakin Google’ın düzeltmesinin yaklaşık beş ay sürdüğünü söyledi.

Schütz, bir Google Pixel telefona fizikî erişimi olan herkesin SIM kartını değiştirebileceğini ve Android işletim sisteminin kilit ekranı muhafazalarını atlamak için evvelden ayarlanmış kurtarma kodunu girebileceğini keşfetti. Kusur hakkında yayınlanan bir blog gönderisinde kusurun düzeltildiğini söyleyen Schütz, yanılgıyı ezkaza nasıl bulduğunu açıkladı ve Google’ın Android grubuna bildirdi.

Android kilit ekranları, kullanıcıların telefon bilgilerini korumak için sayısal bir şifre, parola, bir desen ya da parmak izi ya da yüz tanıma kullanıyor. SIM kartlarda da bir hırsızın telefonu kullanmasını engellemeyi amaçlayan bir PIN kodu koruması bulunuyor. Bir kullanıcı PIN kodunu üç kezden fazla yanlış girerse, SIM kartlarda ek bir şahsî kilit açma kodu ya da PUK bulunuyor. PUK kodları, ekseriyetle SIM kart paketine basılı olarak bulunuyor ya da direkt cep telefonu operatörünün müşteri hizmetlerinden edinilebiliyor.

Schütz, bu kusurun, SIM kartın PUK kodunu girmenin, tamamen yamalı Pixel 6 telefonunu ve eski Pixel 5’i kandırarak, kilit ekranını görsel olarak hiç göstermeden telefonunun ve bilgilerinin kilidini açmak için kâfi olduğu manasına geldiğini fark etti. Ayrıyeten, diğer Android aygıtlarının da savunmasız olabileceğini belirtti.

Kötü niyetli biri, kendi SIM kartını kullanırsa ve buna karşılık gelen PUK kodunu biliyorsa, telefona sırf fizikî erişimle kilidini açabiliyor.

Google, birisinin kilit ekranını atlamasına izin verebilecek yanlışları özel olarak bildirmeleri için güvenlik araştırmacılarına 100.000 ABD dolarına kadar ödeme yapıyor. Bu durumda Google, Schüttz’e 70.000 dolar ödedi ve bu Android kusurunu Android 10’dan Android 13’e kadar çalıştıran aygıtlar için 5 Kasım 2022’de yayınlanan bir güvenlik güncellemesiyle düzeltti. Aşağıdaki görüntüsünde Schütz’ün bu yanılgıyı nasıl kullandığını görebilirsiniz.