teataja.online logoteataja.online logo
It

Turvauurija, kes võitis Google'ilt veast teatamise eest 70 000 dollarit, jagab oma protsessi

1/2/2023
standret @freepik.com

Värsked uudised kiirelt sinu meili peale.

Saadame meili peale nädala kokkuvõtteid lühiuudistest, tasuta.

Google maksis turvauurijale 70 000 dollarit selle eest, et ta teatas privaatselt turvaveast, mis võimaldas kõigil avada Google Pixeli telefonid pääsukoodi teadmata. Viga, mida tuntakse nime all CVE-2022-20465, on privileegiviga kohalik eskalatsioon, kuna see võimaldab seadmele füüsilise juurdepääsu omaval isikul pääseda juurde selle andmetele ilma lukustuskuva pääsukoodi sisestamata. Ungaris asuv teadlane David Schütz avastas, et igaüks, kellel on füüsiline juurdepääs Google Pixeli telefonile, võib oma SIM-kaardi sisse vahetada ja sisestada eelseadistatud taastekoodi, et Androidi operatsioonisüsteemi lukustusekraani kaitsetest mööda minna. Schütz kirjeldas veateemalises ajaveebipostituses, kuidas ta vea kogemata avastas ja teatas sellest Google'i Androidi meeskonnale.

Schütz leidis, et viga tähendas, et SIM-kaardi isikliku avamiskoodi (PUK) sisestamisest piisas, et tema täielikult paigatud Pixel 6 telefoni ja vanemat Pixel 5 telefoni ja andmeid avada ilma lukustusekraani visuaalselt kuvamata. Ta hoiatas, et ärakasutamise suhtes võivad haavatavad olla ka teised Android-seadmed, mis eeldab vaid füüsilist ligipääsu telefonile ja SIM-kaardi PUK-koodi tundmist. "Ründaja võis lihtsalt vahetada ohvri seadmes SIM-kaardi ja sooritada ärakasutamise SIM-kaardiga, millel oli PIN-lukk ja mille kohta ründaja teadis õiget PUK-koodi," ütles Schütz.

Google võib maksta turvauurijatele kuni 100 000 dollarit privaatselt teatamise eest vigadest, mis võivad lubada kellelgi lukustuskuvast mööda minna, kuna edukas ärakasutamine võimaldaks juurdepääsu seadme andmetele. Vigade hüved on osalt kõrged, et konkureerida selliste ettevõtetega nagu Cellebrite ja Grayshift, kes ehitavad ja müüvad tarkvara ärakasutamist kasutavatele õiguskaitseasutustele telefoni krakkimise tehnoloogiat. Sel juhul maksis Google Schützile väiksema, 70 000 dollari suuruse veapreemia, sest kuigi tema viga märgiti duplikaadiks, ei suutnud Google enne teda teatatud viga reprodutseerida.

Google parandas Androidi vea turvavärskenduses, mis avaldati 5. novembril 2022 seadmetele, mis käitavad operatsioonisüsteemi Android 10 kuni Android 13. Allolevas videos näete Schützi, kuidas see viga ära kasutab.

Mõned artikklid veel...
...

Värsked uudised kiirelt sinu meili peale.

Saadame meili peale nädala kokkuvõtteid lühiuudistest, tasuta.

teataja.online logo

Tehisintellekti poolt genereeritud uudised.

hello@teatmik.online