Google membayar peneliti $70.000 untuk menemukan kesalahan bypass kunci layar Android sederhana

Apa yang baru saja terjadi? Jika Anda mencari cara untuk menghasilkan banyak uang dengan sangat cepat, Anda dapat mencoba menemukan kerentanan dan mengklaim bonus bug bounty. Seorang peneliti menerima $70.000 dari Google setelah dia menemukan cara untuk membuka kunci ponsel Android tanpa kode sandi, dan dia melakukannya secara tidak sengaja.

Peneliti Hungaria David Schutz melaporkan bug yang sangat parah, dilacak sebagai CVE-2022-20465, yang digambarkan sebagai bypass layar kunci karena kesalahan logika dalam kode yang dapat menyebabkan eskalasi hak istimewa lokal tanpa hak istimewa Eksekusi tambahan yang diperlukan.

Meskipun eksploitasi mengharuskan perangkat Android berada dalam kepemilikan penyerang, ini adalah cara efektif untuk menghindari kunci layar yang dilindungi dengan PIN, angka, kata sandi, sidik jari, atau wajah. Schutz menemukan bug tersebut setelah dia bepergian selama 24 jam dan ponsel Pixel 6-nya mati saat mengirim serangkaian pesan teks.

Setelah mencolokkan pengisi daya dan memulai ulang perangkat, Pixel meminta untuk memasukkan kode PIN SIM, yang terpisah dari kode kunci layar; Ini dirancang untuk mencegah siapa pun mencuri dan menggunakan kartu SIM Anda. Schutz tidak dapat mengingat kodenya, yang menyebabkan kartu SIM terkunci setelah dia memasukkan tiga nomor yang salah.

Satu-satunya cara untuk mengatur ulang kartu SIM yang terkunci adalah dengan menggunakan Kode Buka Kunci Pribadi atau PUK. Ini sering dicetak pada kemasan kartu SIM atau dapat diperoleh dengan menghubungi dukungan pelanggan operator. Dia menggunakan Schutz sebelumnya, yang memungkinkannya mengatur ulang PIN. Namun alih-alih melihat permintaan kata sandi layar kunci, Pixel hanya meminta pemindaian sidik jari; Perangkat Android meminta kata sandi/PIN setelah reboot untuk alasan keamanan.

Schutz mencoba anomali ini. Pada akhirnya, ditemukan bahwa mereproduksi tindakan ini tanpa memulai ulang perangkat memungkinkan untuk melewati seluruh layar kunci – bahkan sidik jari pun tidak diperlukan. Anda dapat melihat proses yang sedang berlangsung di atas.

Schutz mengatakan prosesnya berhasil pada Pixel 6 dan Pixel 5 miliknya. Google memperbaikinya dalam pembaruan Android terbaru pada 5 November, tetapi penjahat telah dapat mengeksploitasinya setidaknya selama enam bulan. Semua perangkat yang menjalankan Android 10 hingga Android 13 yang belum diperbarui ke patch November 2022 masih rentan.

Google dapat membayar hingga $100.000 kepada mereka yang melaporkan bug pemintas layar kunci. Schutz menerima lebih sedikit $70.000 karena seseorang telah melaporkan jumlah yang dia temukan, tetapi Google tidak dapat memperbanyaknya.