Thaiware Shop
จำหน่าย จัดหา ซอฟต์แวร์ลิขสิทธิ์ สำหรับองค์กร ฯลฯ
แฮกเกอร์สายขาวจากประเทศฮังการี (Hungary) ได้ค้นพบช่องโหว่บนมือถือ Google Pixel และทำให้เขาสามารถ bypass หน้าจอล็อคสกรีนได้อย่างง่ายดายโดยไม่ต้องใช้รหัส Pin หรือลายนิ้วมือที่เจ้าของเครื่องตั้งเอาไว้ ซึ่งหลังจากรายงานไปทาง Google เขาก็ได้เงินตอบแทนเป็นจำนวน 70,000 ดอลลาร์สหรัฐหรือราว ๆ 2,400,000 บาท
ช่องโหว่รหัส CVE-2022-20465 ได้รับแจ้งโดย David Schütz แฮกเกอร์หรือนักวิจัยด้านความปลอดภัยรายหนึ่งจากประเทศฮังการี ซึ่งตัวเขาเองมักจะรับงานเป็น "Bug Bounty" หรือนักล่าเงินรางวัลบนโลกแฮกเกอร์อยู่บ่อย ๆ และช่องโหว่ครั้งนี้ก็ถูกค้นพบและมีการรายงานไปยัง Google เมื่อเดือนมิถุนายนในปีนี้เอง ก่อนที่ Google จะประกาศการอัปเดตแก้ไขในช่วงเดือนพฤศจิกายน ค.ศ. 2022 หรือ เร็วนี้ ๆ
สำหรับเทคนิคของ David Schütz ที่ทำให้เขาสามารถผ่านการป้องกันของ Google Pixel ได้มีการแสดงให้ดูถึงขั้นตอนผ่านคลิปวิดีโอใน YouTube ต่อไปนี้
ในคลิป เริ่มจากที่เขาได้ทำการปลดล็อคหน้าจอ Google Pixel ด้วยลายนิ้วมือเป็นจำนวน 3 ครั้งแต่ไม่สำเร็จซึ่งแสดงให้เห็นว่าเขาไม่ใช่เจ้าของเครื่อง และอุปกรณ์ก็มีการบล็อคระบบยืนยันตัวตนไปโดยปริยาย
จากนั้นเขาก็ได้ถอดซิมการ์ดออก และสลับเอาซิมการ์ดตัวเองใส่ลงไปแทน พร้อมกับใส่รหัส Passcode ผิดไปอีก 3 ครั้ง จนทำให้อุปกรณ์เข้าสู่โหมดล็อคซิมเพื่อความปลอดภัย และจำเป็นต้องใช้รหัส PUK Code หรือรหัส 8 หลักเพื่อปลดล็อคกลับมา
ซึ่งรหัสเหล่านั้นถ้าเราเป็นเจ้าของซิมการ์ดสามารถสอบถามจากผู้ให้บริการมือถือได้ และด้วยเหตุผลนั้นเองเมื่อมือถือ Google Pixel ทำการเข้าสู่โหมดล็อค SIM ที่แฮกเกอร์รู้รหัส PUK Code อยู่แล้ว ก็ทำให้เขาสามารถปลดล็อคได้ แต่ที่น่าตกใจคืออุปกรณ์ดันรีเซ็ตรหัส PIN ใหม่อีกด้วย ทำให้เขาสามารถตั้งรหัส PIN ใหม่และปลดล็อคหน้าจอนั้นได้เฉยเลย
รายงานของ Google ระบุว่านี่เป็นความผิดพลาดจาก source code ที่ทำให้ระบบบกพร่องในเรื่องของการตีความวิธีการเปลี่ยนซิมการ์ดดังกล่าว จนทำให้เกิดบัคไปรีเซ็ตรหัสล็อกหน้าจอตามคลิป
ซึ่งก็เป็นเรื่องที่น่ายินดีที่เขาแจ้งเรื่องนี้ไปยัง Google หลังค้นพบและบริษัทก็กำลังดำเนินการแก้ไข สำหรับตัวแฮกเกอร์คนนี้ก็ได้เงินก้อนใหญ่ไปใช้สบายเลยทีเดียว
ความคิดเห็น (0)