Google-Pixel-Smartphones von Exploit betroffen
Veröffentlicht: 16:50, 20. Nov. 2022 (CET) Bitte keine inhaltlichen Veränderungen vornehmen. |
20.11.2022 – Der ungarische IT-Sicherheitsforscher David Schütz fand vor einiger Zeit durch Zufall einen Exploit im System seines eigenen Google-Pixel-Smartphones. Untersuchungen kommen zu dem Ergebnis, dass auch weitere Android-Smartphones betroffen sein könnten.
Da Schütz die PIN seiner SIM-Karte vergessen hatte, versuchte er diese zu erraten. Nach drei erfolglosen Versuchen sperrte sich sein Smartphone und forderte ihn auf, seinen PUK, den Personal Unblocking Key, welcher mit jeder SIM-Karte mitgeliefert wird, einzugeben. Als er dies tat, musste er feststellen, dass sein Smartphone sich sofort entsperrte und nicht noch, wie sonst üblich, nach der Geräte-PIN fragte. Schütz versuchte daraufhin das Szenario zu reproduzieren: mit Erfolg. Die Geräte-PIN seines Smartphones ließ sich jedes Mal mit Eingabe eines PUK umgehen, sogar dann, wenn er eine andere SIM-Karte einlegte.
Durch diesen Exploit ist es jedem möglich, mit einer simplen Prepaid-SIM-Karte auf jedes beliebige Google-Pixel-Smartphone zuzugreifen, indem man schlicht die SIM-Karte des Besitzers mit der eigenen Prepaid-Karte austauschte. Mit dem PUK der Prepaid-Karte konnten so sämtliche Sicherheitsmechanismen wie eine PIN, ein Passwort oder die Abfrage biometrischer Daten zum Entsperren umgangen und auf jedes beliebige Smartphone der Google-Pixel-Reihe unberechtigt zugegriffen werden. Google ignorierte trotz der Tatsache, dass Schütz dort bereits als Sicherheitsforscher bekannt war, zuerst seine Meldung. Erst nachdem er gedroht hatte, am 15. November den Exploit öffentlich zu machen, reagierte Google und behob den Fehler mit einem Sicherheitsupdate; laut Angaben von Google am 5. November. Schütz erhielt außerdem eine Zahlung von 70.000 USD für seine Meldung.
Derzeit ist noch unklar, welche Auswirkungen der Exploit 2022-20465, wie er vom CVE-Programm des Federally Funded Research and Development Center (USA) genannt wurde, hat. Viele Sicherheitsforschende gehen derzeit aber davon aus, dass der Exploit auch bei weiteren Android Smartphones bestanden hätte und womöglich bei vielen Herstellern auch immer noch besteht.
Quellen
Bearbeiten- Common Vulnerabilities and Exposures: „CVE-2022-20465“
- Portswinger: „Google Pixel screen-lock hack earns researcher $70k“ (11.11.2022)
- Seytonic: „The Accidental $70k Android Hack“ (17.11.2022)