这个谷歌Pixel错误修复可能会给所有Android手机带来麻烦

据报道，一个影响“似乎所有”谷歌Pixel手机的漏洞可能允许不速之客访问锁定的Pixel设备。根据博客文章(在新标签页中打开)由网络安全研究员DavidSchütz提出，他的错误报告说服了谷歌采取行动，该错误仅在2022年11月5日的安全更新后才针对相关Android手机进行了修补，大约在他提交错误报告后六个月。

该漏洞被跟踪为CVE-2022-20465(在新标签页中打开)，允许具有物理访问权限的攻击者绕过锁屏保护，例如指纹和PIN，并获得对用户设备的完全访问权限。

Schütz声称另一位研究人员之前标记该问题的错误报告被忽略了，他说该漏洞很简单且易于复制。

它涉及通过输入错误的密码3次来锁定SIM卡，重新插入SIM托架，通过输入SIM卡的PUK码(应包含在原始包装中)重置密码，然后选择一个新的密码。

根据Schütz的说法，由于攻击者只需携带他们自己的PIN锁定SIM卡，因此除了物理访问之外别无其他。

潜在的攻击者可以在受害者的设备中交换这样的SIM卡，并使用具有PIN锁且攻击者知道正确的PUK码的SIM卡执行攻击。

值得称赞的是，尽管Schütz声称该漏洞很严重，但在提交详细说明该漏洞的报告后，谷歌在37分钟内处理了该漏洞。

尽管舒尔茨没有提供任何证据，但他认为其他安卓供应商可能也受到了影响。这当然是可能的，因为Android是一个开源操作系统。

这也不是安全研究人员第一次揭露Android手机中的严重安全漏洞。

2022年4月，保点研究(在新标签页中打开)(CPR)发现了一个缺陷，如果不打补丁，可能会使大量Android手机容易受到远程代码执行的攻击，这是由于高通和联发科芯片的音频解码器中存在漏洞。