| ثغرة في هواتف أندرويد تمكن أي شخص من فتح شاشة القفل بهاتفك.. احذرها

فريق التحرير
Posted by كتب فريق التحرير 14 نوفمبر، 2022

هواتف أندرويد- تعبيرية

ثغرة جديدة عثر عليها الباحث في الأمن السيبراني David Schütz عن طريق الخطأ، وهي طريقة تجعل من السهولة فتح شاشة القفل على هواتفه الذكية Google Pixel 6 وPixel 5 المصححة بالكامل، ما يتيح لأي شخص لديه وصول مادي إلى الجهاز لفتحه.

وبحسب موقع «bleepingcomputer» التقني، يعد استغلال الثغرة الأمنية لتجاوز شاشة القفل على هواتف Android عملية بسيطة من خمس خطوات لن تستغرق أكثر من بضع دقائق، وقامت Google بإصلاح مشكلة الأمان في آخر تحديث لنظام Android تم إصداره الأسبوع الماضي، لكنها ظلت متاحة للاستغلال لمدة ستة أشهر على الأقل.

اكتشاف الثغرة بالصدفة

يقول Schütz إنّه اكتشف الخلل عن طريق الصدفة بعد نفاد بطارية هاتف Pixel 6 الخاص به، وأدخل رقم التعريف الشخصي الخاص به بشكل خاطئ ثلاث مرات، واستعاد بطاقة SIM المقفلة باستخدام رمز PUK «مفتاح فك القفل الشخصي».

كانت المفاجأة عندما فتح بطاقة SIM وقام باختيار رقم تعريف شخصي جديد، لم يطلب الجهاز كلمة مرور شاشة القفل ولكنه طلب فقط مسح بصمة الإصبع، إذ لم يكن الانتقال مباشرة إلى إلغاء القفل ببصمة الإصبع أمرًا طبيعيًا، نظرًا لأنّ جميع أجهزة الأندرويد دائمًا ما تطلب كلمة مرور أو نمط قفل الشاشة عند إعادة التشغيل لأسباب أمنية.

ولم يقف الباحث عند هذه المحاولة، بل عمد إلى مواصلة التجارب، وعندما حاول إعادة إنتاج الخلل دون إعادة تشغيل الجهاز؛ اكتشف أنّه من الممكن تجاوز موجه بصمات الأصابع أيضًا، والانتقال مباشرة إلى الشاشة الرئيسية.

وأشار الموقع التقني، إلى أنّ هذه الثغرة الأمنية لها تاثير واسع، إذ يمكن أن تؤثر على جميع الأجهزة التي تعمل بإصدارات Android 10 و11 و12 و13 التي لم يتم تحديثها إلى مستوى التصحيح في نوفمبر 2022.

ويعد الوصول المادي إلى جهاز شرطًا أساسيًا قويًا، ومع ذلك لا يزال الخلل يحمل تداعيات خطيرة على الأشخاص الذين يسيئون إلى الأزواج، والذين يخضعون لتحقيقات إنفاذ القانون، وأصحاب الأجهزة المسروقة، وما إلى ذلك.

وأوضح الباحث، أنّ المهاجم يمكنه استخدام بطاقة SIM الخاصة به ببساطة على الجهاز المستهدف، وتعطيل المصادقة البيومترية «عملية تتم عن طريق تجربة فتح بصمة الإصبع عدة مرات»، وإدخال رقم التعريف الشخصي الخطأ ثلاث مرات، وتوفير رقم PUK، ومن ثم يمكنه الوصول إلى جهاز الضحية دون قيود.

وعندما أدخل «شوتز» رقم PUK الصحيح، تم تمكين وظيفة «رفض» مرتين، مرة بواسطة مكون الخلفية الذي يراقب حالة SIM، ومرة ​​بواسطة مكون PUK، وإذا لم تكن هناك شاشة أمان أخرى، فسيصل المستخدم مباشرة إلى الشاشة الرئيسية.

خبير تكنولوجي يحذر من خطورة الثغرة

وحذر محمد جمال، مبرمج مواقع في إحدى الشركات، المستخدمين من خطورة ثغرة جوجل، خلال حديثه لـ«»: «يجب على الجميع تحديثه أجهزتهم باستمرار، لأن التحديثات الجديدة دائما تحتوي على حل لهذه الثغرات قبل استغلالها من قبل قراصنة الهاكرز».

إبلاغ جوجل بالثغرة الأمنية

وفي يونيو 2022، أبلغ «شوتز» جوجل عن هذا الخلل، وعلى الرغم من أن شركة التكنولوجيا العملاقة قد أقرت بالاستلام وخصصت معرف CVE لـ  CVE-2022-20465، إلا أنها لم تصدر إصلاحًا حتى 7 نوفمبر 2022.

وعلى الرغم من أن تقرير «شوتز» كان مكررًا، إلا أنّ جوجل قدّمت استثناءً ومنحت الباحث 70 ألف دولار مقابل اكتشافه، إذ يمكن لمستخدمي Android 10 و11 و12 و13 تصحيح هذا الخلل من خلال تطبيق التحديث الأمني ​​7 نوفمبر 2022.