Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Lỗ hổng mới cho phép kẻ gian có thể mở khoá và giành quyền truy cập hoàn toàn vào thiết bị của người dùng bằng cách thay sim khác.

Google vừa giải quyết một vấn đề bảo mật ở mức độ nghiêm trọng. Lỗ hổng bảo mật này ảnh hưởng đến tất cả dòng điện thoại Pixel, khi mà việc thay sim có thể bỏ qua quá trình hỏi mật khẩu để mở khoá máy.

"Lỗ hổng này cho phép kẻ gian có thể vượt qua các bảo mật trên màn hình khóa (vân tay, mã PIN, v.v.) và giành quyền truy cập hoàn toàn vào thiết bị của người dùng  bằng cách lắp sim khác", David Schütz, người đã được thưởng 70.000 USD khi phát hiện lỗ hổng nghiêm trọng này.

Xem thêm: Google cảnh báo và xoá một loạt ứng dụng Android chứa mã độc trên Play Store

Schütz cho biết anh đã tình cờ phát hiện ra lỗ hổng sau khi Pixel 6 của mình hết pin, nhập sai mã PIN ba lần và bị khoá sim buộc Schütz phải nhập mã PUK (mã khóa cá nhân).

PUK là một đoạn mã bảo vệ sim dài 8 ký tự, thường được in trên vỏ sim khi người dùng mua từ nhà mạng. Schütz này cho biết anh đã phải tìm vỏ bộ sim và nhập mã PUK, đồng thời thay đổi mã PIN mới để mở khóa thuê bao. Tuy nhiên, điều khiến Schütz bất ngờ là sau khi mở khóa sim, chiếc Pixel 6 chỉ yêu cầu anh dùng vân tay để mở máy.

Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Các thiết bị Android luôn yêu cầu người dùng nhập mật khẩu mở máy ít nhất một lần để giải mã. Nhà nghiên cứu tiếp tục thử nghiệm bằng cách thực hiện quy trình đó nhiều lần để báo cáo lỗi cho nhà sản xuất. Trong một lần quên khởi động, Schütz phát hiện ra thiết bị thậm chí không hỏi vân tay mà cho phép người dùng truy cập thẳng vào màn hình chính chỉ với mã mở khóa sim.

Phát hiện lỗ hổng bảo mật trên điện thoại Android, cho phép mở khoá bằng cách thay sim

Theo công bố của Google, lỗ hổng này ảnh hưởng đến tất cả các thiết bị chạy Android phiên bản 10, 11, 12 và 13 nếu chưa cập nhật bản vá tháng 11. Để khai thác, kẻ gian chỉ cần sử dụng thẻ sim của chúng (vốn có sẵn mà PUK), cố tình nhập sai vân tay và mã PIN nhiều lần để bị khóa sim, sau đó nhập mã PUK để mở khóa sim, từ đó truy cập được vào máy không giới hạn.

Lỗ hổng với mã CVE-2022-20465 và được nhà nghiên cứu bảo mật David Schütz báo cáo vào tháng 6 năm 2022, đã được khắc phục như một phần của bản cập nhật Android hàng tháng cho tháng 11 năm 2022 của gã khổng lồ tìm kiếm.

Bài viết liên quan

Bài viết đọc nhiều nhất

Bài viết mới trong ngày

EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

EU chính thức buộc Google chia sẻ dữ liệu tìm kiếm và mở Android cho AI bên thứ ba

Khoa Nguyen

Ủy ban châu Âu vừa công bố các biện pháp thực thi mới theo Đạo luật Thị trường Kỹ thuật số (Digital Markets Act - DMA), yêu cầu Google phải mở rộng khả năng tương thích trên Android và chia sẻ dữ liệu Google Search với các đối thủ. Đây được xem là một trong những động thái mạnh tay nhất của Liên minh châu Âu nhằm hạn chế vị thế thống lĩnh của Google trong lĩnh vực tìm kiếm và hệ điều hành di động.

Công Nghệ
Bóc trần góc khuất Tokyo: Anime "Chainsmoker Cat" phơi bày thực trạng nghèo đói tàn khốc bị che giấu tại Nhật Bản

Bóc trần góc khuất Tokyo: Anime "Chainsmoker Cat" phơi bày thực trạng nghèo đói tàn khốc bị che giấu tại Nhật Bản

hoanlagvn

Một bài phân tích chuyên sâu chấn động vừa được nhà nghiên cứu văn hóa Jay Allen đăng tải trên chuyên trang uy tín "Unseen Japan", biến bộ anime đang viral mạnh mẽ "Chainsmoker Cat" (tên gốc: Yani Neko) trở thành tâm điểm mổ xẻ của giới xã hội học. Vượt qua lớp vỏ bọc giải trí thông thường, tác phẩm đã dũng cảm vén bức màn nhung để khắc họa trần trụi về nạn nghèo đói và sự gạt ra lề xã hội — những chủ đề nhạy cảm vốn bị coi là cấm kỵ và cấm kỵ trong đời sống thường nhật của người dân Nhật Bản.

Giải trí
Lên đầu trang