Истражувачот за безбедност Хозе Родригез, познат на „X“ како „@VBarraquito“, откри значајна грешка во уредите со „Android 13“ и „14“ што може да ги изложи чувствителните податоци складирани од корисниците на сметките на „Google“.
Пропустот што го откри Родригез им овозможува на напаѓачите со физички пристап до уредот да го заобиколат заклучениот екран и да пристапат до личните податоци, вклучувајќи фотографии, историја на прелистување и контакти.
Интересно е тоа што Родригез ја открил грешката обидувајќи се да ги отвори врските на „Google Maps“ директно од заклучениот екран.
Но, позагрижувачки е тврдењето на Родригез дека „Google“ бил свесен за проблемот најмалку шест месеци без да преземе ништо. Според него, компанијата го признала проблемот во мај, но ажурирањето што ја поправило грешката било објавено дури на крајот на ноември.
Ранливоста овозможува две главни сценарија, во зависност од конфигурацијата на „Google Maps“ на корисникот. Во првиот, каде што режимот на возење не е овозможен, напаѓачите можат да пристапуваат и да споделуваат неодамнешни и омилени локации, како и контакти.
Друго, покомплексно сценарио може да му дозволи на напаѓачот да пристапи и да објавува фотографии, опширно да манипулира со сметката на „Google“ и потенцијално да добие целосен пристап до сметката.
Родригез ги повикува корисниците на „Android“ да го тестираат овој бајпас за заклучување на екранот на нивните уреди и да ги пријават своите наоди.
Ова не е прв инцидент со заобиколување на заклучениот екран на „Android“. Минатата година, Дејвид Шуц откри сличен проблем на уредите „Google Pixel“.
Напаѓачот може да ја замени „SIM“-картичката на заклучен уред „Google Pixel“ со оној што има познат „PUK“ код. Овој бајпас на заклучениот екран бара минимална техничка вештина.
Времето на одговор на „Google“ на таквите пропусти беше значително бавно. Таквата шема предизвикува загриженост за недостатокот на посветеност на технолошкиот гигант за брзо решавање на безбедносните пропусти кои ги ставаат корисниците во ризик.
