4个小操作拿到谷歌7万美元漏洞奖金

攻防
2月前

20221112191602.png

本月安卓更新中修复了一个漏洞(CVE-22-20465),利用该漏洞,攻击者可绕过谷歌手机Pixel的锁屏。

漏洞发现者大卫·舒茨(David Schütz)在网上公布了他的解锁步骤:

1)将PIN码输错三次;
2)热插拔SIM卡,用已知PIN码的SIM卡替换原SIM卡;
3)输入新SIM卡的八位PUK码;
4)输入新的PIN码。

搞定!

舒茨机缘巧合发现的这个漏洞,当时他忘记了自己的PIN码,三次输入错误后,触发SIM卡自动锁定。在热插拔的情况下,换一张SIM卡,再输入PUK的话,安卓会认为是原来那张SIM卡的PUK。因此成功绕过锁屏。

一句话点评

漏洞无所不在,安全谨慎前行。

—— 数世咨询



参考阅读
从漏洞猎人视角看漏洞悬赏
从赏金计划的诞生到职业挖漏洞
漏洞赏金随人才争夺战水涨船高
美国政府悬赏500万美元:举报朝鲜黑客信息
美国国务院悬赏1000万美元奖励国家支持的黑客