Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Lỗ hổng mới cho phép kẻ gian có thể mở khoá và giành quyền truy cập hoàn toàn vào thiết bị của người dùng bằng cách thay sim khác.

Google vừa giải quyết một vấn đề bảo mật ở mức độ nghiêm trọng. Lỗ hổng bảo mật này ảnh hưởng đến tất cả dòng điện thoại Pixel, khi mà việc thay sim có thể bỏ qua quá trình hỏi mật khẩu để mở khoá máy.

"Lỗ hổng này cho phép kẻ gian có thể vượt qua các bảo mật trên màn hình khóa (vân tay, mã PIN, v.v.) và giành quyền truy cập hoàn toàn vào thiết bị của người dùng  bằng cách lắp sim khác", David Schütz, người đã được thưởng 70.000 USD khi phát hiện lỗ hổng nghiêm trọng này.

Xem thêm: Google cảnh báo và xoá một loạt ứng dụng Android chứa mã độc trên Play Store

Schütz cho biết anh đã tình cờ phát hiện ra lỗ hổng sau khi Pixel 6 của mình hết pin, nhập sai mã PIN ba lần và bị khoá sim buộc Schütz phải nhập mã PUK (mã khóa cá nhân).

PUK là một đoạn mã bảo vệ sim dài 8 ký tự, thường được in trên vỏ sim khi người dùng mua từ nhà mạng. Schütz này cho biết anh đã phải tìm vỏ bộ sim và nhập mã PUK, đồng thời thay đổi mã PIN mới để mở khóa thuê bao. Tuy nhiên, điều khiến Schütz bất ngờ là sau khi mở khóa sim, chiếc Pixel 6 chỉ yêu cầu anh dùng vân tay để mở máy.

Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Các thiết bị Android luôn yêu cầu người dùng nhập mật khẩu mở máy ít nhất một lần để giải mã. Nhà nghiên cứu tiếp tục thử nghiệm bằng cách thực hiện quy trình đó nhiều lần để báo cáo lỗi cho nhà sản xuất. Trong một lần quên khởi động, Schütz phát hiện ra thiết bị thậm chí không hỏi vân tay mà cho phép người dùng truy cập thẳng vào màn hình chính chỉ với mã mở khóa sim.

Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Theo công bố của Google, lỗ hổng này ảnh hưởng đến tất cả các thiết bị chạy Android phiên bản 10, 11, 12 và 13 nếu chưa cập nhật bản vá tháng 11. Để khai thác, kẻ gian chỉ cần sử dụng thẻ sim của chúng (vốn có sẵn mà PUK), cố tình nhập sai vân tay và mã PIN nhiều lần để bị khóa sim, sau đó nhập mã PUK để mở khóa sim, từ đó truy cập được vào máy không giới hạn.

Lỗ hổng với mã CVE-2022-20465 và được nhà nghiên cứu bảo mật David Schütz báo cáo vào tháng 6 năm 2022, đã được khắc phục như một phần của bản cập nhật Android hàng tháng cho tháng 11 năm 2022 của gã khổng lồ tìm kiếm.

Bài liên quan

Bài đọc nhiều nhất

Bài mới trong ngày

Cúp Thể Thao Điện Tử Quốc Gia Việt Nam (VENC): Sân Chơi Lớn Cho Thế Hệ Vận Động Viên Esports Trẻ Việt Nam

Cúp Thể Thao Điện Tử Quốc Gia Việt Nam (VENC): Sân Chơi Lớn Cho Thế Hệ Vận Động Viên Esports Trẻ Việt Nam

Khoa LêLê Khoa

Cúp Thể thao điện tử Quốc gia Việt Nam (VENC) tiếp tục khẳng định vai trò là bệ phóng dành cho những tài năng trẻ của nền esports Việt Nam. Thông qua hệ thống thi đấu bài bản, VENC không chỉ tìm ra những nhà vô địch mà còn tạo cơ hội để các vận động viên trẻ tích lũy kinh nghiệm, cọ xát trong môi trường chuyên nghiệp và từng bước hướng tới các đấu trường lớn hơn.

eSports
Tiếng thét từ cha đẻ "Code Geass": Xã hội Nhật Bản ngày càng "quá sạch sẽ" đang bóp nghẹt sự sáng tạo và đẩy nhân tài rời bỏ ngành Anime

Tiếng thét từ cha đẻ "Code Geass": Xã hội Nhật Bản ngày càng "quá sạch sẽ" đang bóp nghẹt sự sáng tạo và đẩy nhân tài rời bỏ ngành Anime

hoanlagvnDũng Nhỏ TT

Trong một buổi diễn thuyết gây chấn động tại Đại học Keio, đạo diễn anime kỳ cựu Goro Taniguchi đã thẳng thắn đưa ra những cảnh báo gai góc về tương lai của ngành hoạt hình nước nhà. Ông cho rằng các chuẩn mực đạo đức xã hội ngày càng khắt khe, đi kèm tư duy sản xuất mì ăn liền, đang biến anime thành những sản phẩm "rập khuôn" và đẩy không ít thiên tài rời bỏ ngành công nghiệp tỷ đô này.

Giải trí
Lên đầu trang