Theo phát hiện tình cờ của David Schütz, chỉ mất năm bước và vài phút, người này đã có thể "bẻ khóa" dễ dàng chiếc smartphone Android của mình mà không cần đến vân tay lẫn mật khẩu (và đương nhiên cũng không Face ID nốt). Điều này cho thấy, chỉ với những thao tác đơn giản như hướng dẫn dưới đây, không chỉ Schütz mà bất kỳ người nào cũng có thể đột nhập vào một chiếc smartphone của Google Pixel 5 hoặc Pixel 6 dễ dàng.
Schütz cho biết anh đã tình cờ phát hiện ra lỗ hổng này sau khi pin Pixel 6 của anh bị khóa. Anh ta đã nhập sai số PIN của mình ba lần và khôi phục thẻ SIM bị khóa bằng mã PUK (Mã Mở khóa Cá nhân). PUK được sử dụng để đặt lại số PIN bị mất hoặc bị quên. Thông tin này có thể được lấy từ nhà cung cấp mạng không dây của bạn. Thông thường, sau khi mở khóa thẻ SIM và chọn số PIN mới, điện thoại Android sẽ yêu cầu mật mã hoặc hình mở khóa màn hình khóa vì lý do bảo mật.
Nhưng nhờ vào lỗ hổng này, Schütz nói rằng Pixel 6 của anh ấy đã yêu cầu quét vân tay để thay thế, đây được coi là hành vi bất thường. Sau khi tìm hiểu và thực hiện vài lần thử nghiệm, Schütz nhận thấy rằng nếu anh ấy bắt đầu quá trình trên Pixel 6 khi nó đã được mở khóa, điện thoại sẽ bỏ qua yêu cầu quét vân tay và cho phép người cầm thiết bị đi thẳng vào màn hình chính.
Điện thoại Android chạy các phiên bản hệ điều hành này dễ bị tấn công
Điện thoại chạy Android 10, 11, 12 và 13 không có bản vá bảo mật tháng 11 năm 2022 vẫn dễ bị tấn công. Hãy đối mặt với nó, việc khai thác lỗ hổng này yêu cầu kẻ tấn công phải có quyền sở hữu đối với điện thoại được nhắm mục tiêu, đã mở khóa. Nhưng nếu thiết bị cầm tay của bạn đã bị đánh cắp, người sở hữu thiết bị có thể hoán đổi thẻ SIM trên đó lấy thẻ trên điện thoại của mình, vô hiệu hóa xác thực sinh trắc học, nhập sai Số PIN ba lần và bấm vào số PUK. Người đó hiện có thể truy cập màn hình chính vào điện thoại của bạn.
Schütz đã báo cáo lỗ hổng bảo mật cho Google vào tháng 6 vừa qua và đã được Google thưởng 70.000 USD vì đã phát hiện và phản ánh lỗi này.
Tin vui là Google đã vá lỗ hổng này trong bản cập nhật bảo mật Android tháng 11 được phát hành vào ngày 7/11.
Nguyên Đỗ
