Haavoittuvuus mahdollistaa lukitusruudun ohittamisen oman PIN-koodin kanssa kikkailemalla ja myös muut kuin Pixel-laitteet voivat olla haavoittuvuudelle alttiita.

Pixel-puhelimista löydetty ja marraskuun tietoturvapäivityksissä korjattu haavoittuvuus on mahdollistanut puhelinten pääsykoodin ohittamisen murtautujan omaa SIM-korttia käyttämällä. Käytännössä puhelimen suojauksen on voinut ohittaa, mikäli puhelimeen on vain päässyt käsiksi, sillä pääsykoodin ohittaminen tapahtuu lukitsemalla sormenjälkivahvistus, vaihtamalla SIM-kortti ja lukitsemalla uusi SIM, minkä jälkeen PUK-koodin syöttämällä puhelin ohittaa lukitusruudun kokonaan.

Haavoittuvuus on koskenut kaikkia puhtaaseen AOSP-Androidiin pohjautuvia käyttöjärjestelmiä Googlen Pixel -puhelinten lisäksi, eli muun muassa useat custom ROM:it ovat myös haavoittuvuuden kohdelistalla. Lisäksi ainakin Microsoft Surface Duo, Zenfone 9:n on kerrottu auenneen haavoittuvuuden mukaisille toimenpiteillä lukitusruudustaan käyttöön.

Kokeilimme toisintaa haavoittuvuuden Nokia X30:llä, jossa on käytössä syyskuun tietoturvakorjaukset, mutta kyseisellä laitteella emme kyenneet haavoittuvuutta toistamaan. Tästä huolimatta ainakin osa HMD Globalin puhelimista vaikuttaisi olevan haavoittuvuudella alttiita, sillä Nokia-laitteiden bootloaderin avaustyökalusta tunnettu Hikari_Calyx on Twitterissä kertonut ainakin Nokia 6.1:n Android 9:llä ja Android 10:llä auenneen SIM-kortilla kikkailemalla.

Google on korjannut haavoittuvuuden marraskuun tietoturvapäivityksissä, jotka on jaettu tuoreimman Android 13:n lisäksi myös Android 12, 11 ja 10 -versioille. Tietoturvapäivitysten jakelu puhelimiin on kuitenkin valmistajan vastuulla, eli osaan puhelimista päivityksen saapumisessa voi kestää pidempään ja osalle laitteista päivityksiä ei enää välttämättä toimiteta.

Lähteet: 9to5Google, David Schütz @ YouTube, Flying Antero @ TechBBS, Hikari Calyx Tech Main @ YouTube, Hikari_Calyx@Twitter

This site uses XenWord.
;