Mint utóbb kiderült, az elmúlt nagyjából fél évben lényegében gyerekjáték volt az Androidos készülékek bármilyen védelmi vonalának kijátszása, legyen az SIM-PIN-nel kombinált biometrikus azonosítás vagy bármilyen védelem, amivel a készüléket zárolhatjuk. A problémára a biztonsági szakértő és kvázi etikus hekker, Schütz Dávid teljesen véletlenül jött rá, amikor többször is hibásan adta meg a PIN kódját.

Schütz júniusban jelentette a hibát a Google-nek a megfelelő hivatalos platformon, a javításra viszont a novemberi biztonsági csomagig kellett várni. Az eset bemutatása alapján meglehetősen sokat kellett macerálnia a Google-t, mire érdemben foglalkozni kezdtek a problémával, de végül csak kiiktatták a sérülékenységet a novemberi pakkal.

Schütz egy Pixel 6 modellen fedezte fel a jelenséget, majd reprodukálta a korábbi Pixel 5-ös készülékével, de mivel a hiba az AOSP kódban van, más gyártók készülékeit is érintettek voltak, amelyeken Android 10, Android 11, Android 12 , Android 12L és Android 13 rendszer fut.

A zárolás feloldásához első körben fizikailag hozzá kell férni az eszközhöz, tehát ez nem egy távoli eléréssel abszolválható trükk. Zárolt, de nem kikapcsolt állapotban ki kell cserélni a SIM kártyát egy olyan darabra amelyen aktív a PIN kódos védelem és ismerjük a PUK kódját. Adjuk meg helytelenül az új kártya PIN kódját háromszor, ezután zárol és kérni fogja a PUK kódot. A helyes PUK kód feloldja a SIM zárolást és egyenesen a főképernyőre visz minden további biztonsági lépcső nélkül. eSIM-mel valószínűleg ugyanúgy működik a dolog. Ijesztően egyszerű. Volt. Mert ez a módszer már nem opció.

Ilyen szcenáriókban jön jól az SMS vagy hívás alapú kétlépcsős azonosítás, mivel fiókjainkhoz és az egyes tranzakciókhoz továbbra is a saját mobilszámunkra érkezik a megerősítő kód, illetve az alkalmazásokon belül beállított biometrikus vagy kiegészítő jóváhagyási megoldások (banki alkalmazások, Google Play vásárlások stb.), viszont az ezek nélkül elérhető adataink (közösségi fiókok, dokumentumok, fényképek, jegyzetek etc.) így is kompromittálódnak, az eltulajdonított készüléket pedig innen már gyári állapotba lehet hozni és újként használni vagy értékesíteni.

Schütz a Google ESCAL8 hibavadász esemény Londoban. (forrás: bugs.xdavidhu.me) [+]

Az Android és Google Eszközbiztonsági jutalmazási programja alapján a készülék zárolásának feloldása 100 ezer dollárt (körülbelül 40 millió forint) ér. A jutalom a zárolási képernyő megkerülésére szolgáló szoftverrel végrehajtott megoldásokra vonatkozik, amelyek több vagy összes eszközt érintenek. A szintetikus biometrikus adatokat (hamis maszkokat, ujjlenyomatokat stb.) használó hamisító támadások nem jogosultak jutalomra.

Mivel ezt a sérülékenységet a Google adatbázisa alapján már Schütz előtt is jelentették, az egyébként Szegeden élő magyar biztonsági szakember nem volt jogosult a jutalomra a hiba felfedezéséért és jelentéséért, viszont a Google az ő közbenjárásának és kitartásának köszönhetően kezdett egyáltalán foglalkozni a problémával, így 70 ezer dollárral honorálták a rendszer biztonságának fejlesztésére tett erőfeszítéseit.