危険な SIM スワップ ロック画面バイパス – 今すぐ Android をアップデートしてください! – 裸のセキュリティ

David Schütz という名前のバグ賞金稼ぎが、Android の危険なセキュリティ ホールをめぐって、Google と数か月にわたってどのように剣を交えたかを説明する詳細なレポートを公開しました。 Schütz 氏によると、2022 年 6 月に Android のロック画面を完全にバイパスするバグに完全に偶然遭遇しました。 言い換えれば、他の人が故意にバグを探すことなく欠陥を発見する可能性があると想定することは合理的であり、その発見とゼロデイ ホールとしての公開 (または個人的な悪用) は、通常よりもはるかに可能性が高くなります。 残念ながら、2022 年 11 月までパッチが適用されませんでした。 思いがけないバッテリー出力 簡単に言えば、彼がバグを見つけたのは、長い旅に出る前に電話の電源を切ったり充電したりするのを忘れたためでした。 Schütz 氏によると、彼は家に帰った後 (飛行機に乗っていたと推測されます)、バッテリーにわずかな電力が残っている状態でメッセージを送信するために急いでいました… …電話が切れたとき。 私たちは皆そこにいて、電話を再起動して安全であること、荷物の受け取りを待っていること、駅に到着したこと、45分後に家に帰ることができることを人々に知らせるために、充電器またはバックアップバッテリーパックをかき集めました。誰かが緊急に何かを必要とする場合、または私たちが言わなければならないことは何でも店で. また、急いでいるときにパスワードや PIN に苦労したことがあります。特に、それらがめったに使用せず、入力するための「マッスル メモリ」を開発したことがないコードである場合はなおさらです。 Schütz の場合、彼を困惑させたのは彼の SIM カードの質素な PIN でした。SIM PIN は 4 桁まで短くなる可能性があるため、ハードウェア ロックアウトによって保護されており、推測は最大 3 回までに制限されています。 (私たちはそこにいて、それを行い、自分自身を締め出しました。) その後、PUK と呼ばれる 10 桁の「マスター PIN」を入力する必要があります。 個人のブロック解除キー、これは通常、SIM が販売されるパッケージの内側に印刷されているため、ほとんど改ざん防止になっています。 また、PUK 推測攻撃から保護するために、SIM …

危険な SIM スワップ ロック画面バイパス – 今すぐ Android をアップデートしてください! – 裸のセキュリティ Read More »