【Android手機漏洞】1分鐘破解鎖定螢幕 回報者獲Google獎賞7萬美金
平常使用手機,都會設置密碼保障個人資料,但如果黑客可以在不輸入正確密碼下成功開啟你的電話,密碼就形同虛設。外國有網絡安全研究人員意外發現可以透過Android手機系統漏洞,繞過密碼鎖屏,直接進入主畫面,令人防不勝防。
繞過鎖屏的方法亦十分簡單,只需一分鐘及幾個步驟:首先輸入錯誤 PIN 碼三次,令手機被鎖上;然後換另一張 SIM 卡,再輸入錯誤的 SIM 卡密碼讓 SIM 卡被鎖;這個時候手機會要求輸入 PUK 碼(個人解鎖碼,即由電訊供應商提供的 SIM 卡代碼)解鎖 SIM 卡;就隨後可以重置 SIM 卡密碼,繞過原本的鎖屏密碼,直接進入主螢幕。
造成漏洞的原因是 Android 螢幕鎖定方式出現問題。一般來說,當在關閉螢幕並重新打開後,安全螢幕(鎖定螢幕和 PUK 碼輸入螢幕)會被 Android 堆疊(Stack)在頂層,並且不容許用戶在沒有正確解鎖下通過。滿足解鎖條件後,系統會發出指示關閉堆疊在頂層的安全螢幕,並返回到應用程式或主畫面。
是次漏洞在系統接受用戶輸入 PUK 碼並重置 SIM 卡 PIN 碼後,成功通過 PUK 安全螢幕,原本在堆疊中的下一個常規密碼鎖定螢幕亦被錯誤關閉,導致用戶可以完全訪問設備。
漏洞早在 2022 年 6 月發現並通報,受影響的手機包括有 Android 系統 10、11、12 和 13。Google 最終在 11 月 7 日釋出修補程序,用戶可以前往 設置 > 系統 > 系統更新,進行下載並安裝。回報此項漏洞的研究人員亦獲 Google 頒發 7 萬美元現金獎勵。
用戶亦可以從 設置 > 安全 > Google 安全檢查,檢視帳號安全,例如近期帳號的安全事件、登入與回復、第三方程式及裝置的存取行為等。記得要定期更新自己的系統設備,進一步保障資料安全。
相關文章:【補完陷阱】特製版WhatsApp暗藏木馬 騎劫用家帳戶詐騙親友
