แฮกเกอร์ได้เงินจาก Google กว่า 2 ล้านบาทหลังพบวิธีเจาะระบบล็อคหน้าจอ Pixel

Google แก้ไขช่องโหว่ความปลอดภัยในสมาร์ทโฟน Pixel ที่ทำให้เจาะระบบล็อคหน้าจอได้

เมื่อเดือนมิถุนายน 2022 นักวิจัยความปลอดภัย David Schutz พบช่องโหว่รหัส CVE-2022-20465 และรายงานให้กับทาง Google เมื่อเดือนพฤศจิกายน 2022

“ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถเจาะผ่านระบบล็อคหน้าจอสมาร์ทโฟน Pixel ได้ ไม่ว่าจะใช้การล็อคหน้าจอแบบไหน (ลายนิ้วมือ, PIN, Pattern, หรืออื่นๆ) และสามารถเข้าใช้งานอุปกรณ์ได้” นาย Schutz ได้รับเงินรางวัล 70,000 เหรียญสหรัฐฯหรือประมาณ 2 ล้านบาทจากการค้นพบนี้

นักวิจัยทดลองเจาะระบบล็อคหน้าด้วย 6 ขั้นตอน:

1. ใส่ลายนิ้วมือผิด 3 ครั้ง เพื่อให้อุปกรณ์ล็อค
2. สลับซิมการ์ดโดยไม่ต้องปิดเครื่อง โดยซิมการ์ดนั้นผ่านการตั้งค่าและ PIN เอาไว้แล้ว
3. ใส่รหัส SIM ใหม่ผิดอีก 3 ครั้ง เพื่อให้ซิมถูกล็อค
4. อุปกรณ์จะบังคับให้ใส่ Personal Unlocking Key (PUK) ของซิมการ์ด เป็นรหัส 8 ตัวตามที่เราตั้งค่าเอาไว้จากข้อ 2.
5. กรอกรหัส PIN ใหม่
6. โทรศัพท์จะปลดล็อคอัตโนมัติ

อุปกรณ์เดียวที่แฮกเกอร์ต้องเตรียมมาเพื่อปลดล็อคเครื่อง มีเพียงซิมการ์ด 1 อันที่ตั้งค่า PUK ไว้เท่านั้น

หลังจาก Google วิเคราะห์และแก้ไขช่องโหว่ดังกล่าวแล้ว ออกมายอมรับว่าข้อผิดพลาดดังกล่าวเกิดจาก “incorrect system state” ทำให้การปลดล็อคหน้าจอถูกข้ามไป หลังจากเปลี่ยนซิมการ์ด

Source: https://thehackernews.com/2022/11/hacker-rewarded-70000-for-finding-way.html
Translated by: Worapon H.