- Android 13 a 14 obsahuje chybu, která umožní útočníkovi dostat se do telefonu bez znalosti hesla
- Využít k tomu lze zranitelnost v rámci Map Google
- Gigant z Mountain View o problému ví už od května, zatím ho ale neopravil
Spolehlivé heslo pro vstup do telefonu je považováno za jeden ze základních bezpečnostních prvků. To představuje problém i pro zkušeného útočníka, který může mít s odemknutím zařízení a případným odcizením vašich dat velké potíže. Software ale málokdy bývá bezchybný, a tak je kolikrát lepší varianta využít chyby, které již v rámci systému jsou, než se pokoušet složitě prolamovat heslo. Zamykací obrazovka Androidu 13 a 14 jednu takovou chybu má a Google ji poměrně překvapivě ještě neopravil.
Chyba v Mapách Google umožní útočníkovi získat přístup k telefonu
Bezpečnostní expert Jose Rodriguez objevil novou zranitelnost, která umožňuje obcházení zamykací obrazovky v Androidu 13 a 14. Útočník s fyzickým přístupem k zařízení může získat přístup k fotografiím, kontaktům, historii procházení a dalším údajům. Způsob, jakým na to Rodriguez přišel, je poměrně kuriózní. Před několika měsíci zveřejnil na několika platformách, včetně Twitteru, Redditu a Telegramu, dotaz, zda je možné otevřít odkaz na Mapy Google ze zamčené obrazovky, protože to nemohl udělat se zamčeným Pixelem. Díky tomu přišel na způsob, jakým je možné zamykací obrazovku obejít.
Podle jeho prohlášení Google o tomto problému ví již nejméně šest měsíců a dosud ho neřeší. Expert problém nahlásil přímo Googlu už v květnu a upozornil, že na konci listopadu stále nebylo naplánováno datum bezpečnostní aktualizace, která by tuto trhlinu v systému řešila. Rodriguez upřesnil, že dopad zneužití se liší v závislosti na instalaci a konfiguraci Map Google u uživatele. Závažnost se výrazně zvyšuje, pokud je aktivován auto režim.
Pokud uživatel nemá aktivovaný auto režim, může útočník získat přístup k posledním a oblíbeným místům, ke kontaktům a sdílet polohu v reálném čase s kontakty nebo s e-mailem, který může zadat ručně. Pokud má uživatel aktivovaný auto režim, může útočník řetězením dalšího exploitu kromě přístupů uvedených v předchozím bodě získat přístup k fotografiím zařízení, zveřejnit je nebo je přidat jako profilový obrázek účtu Google a získá také přístup ke konfiguraci účtu Google s možností získat plný přístup z jiného zařízení a mnoho dalšího. Kdy gigant z Mountain View tuto chybu opraví, prozatím není jasné.
