បន្ទាប់ពីត្រូវជាប់សោស៊ីមកាត់ (SIM) លោក David Schutz បានប្រទះឃើញដោយចៃដន់ថា ការប្ដូរស៊ីមអាចធ្វើឱ្យទូរស័ព្ទ Google មិនសួររកពាក្យសម្ងាត់សម្រាប់បើកសោទូរស័ព្ទ។
David Schutz បានឱ្យដឹងថា គាត់បានរាយការណ៍ប្រាប់ Google តាំងពីខែមិថុនា ប៉ុន្តែ រហូតដល់ថ្ងៃទី 07 វិច្ឆិកា ទើបបញ្ហាត្រូវបានដោះស្រាយ។ David Schutz ណែនាំឱ្យអ្នកប្រើប្រាស់ទូរស័ព្ទ Android ធ្វើបច្ចុប្បន្នភាពកំណែជួសជុលថ្មី ដើម្បីចៀសវាងត្រូវគេលួចចូលប្រើទូរស័ព្ទដោយប្រការណាមួយ។
កំហុសខាងលើអាចនាំឱ្យទូរស័ព្ទមួយចំនួនត្រូវជនទុច្ចរិតលួចបើកសោអេក្រង់ដោយការដាក់ស៊ីមដទៃ និងអនុវត្តកិច្ចការ 5 ជំហានដ៏ងាយស្រួលក្នុងរយៈពេលតែប៉ុន្មាននាទីប៉ុណ្ណោះ។
ការរកឃើញកំហុសដោយចៃដន់
បើទោះខ្លួនគឺជាអ្នកជំនាញផ្នែកការពារទិន្នន័យ ប៉ុន្តែ David Schutz មិនមែនស្រាវជ្រាវដោយផ្ទាល់អំពីប្រព័ន្ធប្រតិបត្តិ Android ឡើយ។ David Schutz រកឃើញកំហុសខាងលើដោយចៃដន់ប៉ុណ្ណោះនៅពេលប្រើប្រាស់ទូរស័ព្ទ Pixel 6 របស់ Google។
មានម្ដងនោះ ក្រោយពីថ្មអស់ថាមពលរលីង និងត្រូវបានបញ្ចូលថាមពលជាថ្មី ហើយបើកទូរស័ព្ទឡើងវិញ វាក៏ស្នើឱ្យ David Schutz បញ្ចូលលេខសម្ងាត់ PIN របស់ស៊ីម។ ដោយសារមិនចាំ និងបញ្ចូលខុស 3 ដង ស៊ីមរបស់ David Schutz ក៏ត្រូវបានបិទសោ និងត្រូវបញ្ចូលលេខសម្ងាត់ PUK បើសិនចង់បើកសោស៊ីម។
PUK គឺជាលេខការពារស៊ីមដែលមាន 8 ខ្ទង់ ដែលតែងត្រូវបានបោះពុម្ភនៅលើសម្បកស៊ីមកាតនៅពេលទិញពីក្រុមហ៊ុន។ David Schutz ត្រូវទៅរកសម្បកស៊ីម និងបញ្ចូលកូដ PUK ហើយប្ដូរលេខ PIN ថ្មីដើម្បីបើកសោស៊ីម។ ប៉ុន្តែ អ្វីដែលគាត់ភ្ញាក់ផ្អើលនោះគឺថា បន្ទាប់ពីបើកសោស៊ីម ទូរស័ព្ទ Pixel 6 របស់គាត់គ្រាន់តែស្នើឱ្យគាត់ប្រើប្រាស់ក្រយៅដៃប៉ុណ្ណោះដើម្បីបើកសោទូរស័ព្ទ។
«ប្រការនេះគួរតែមិនត្រូវកើតមាន។ ព្រោះថា បន្ទាប់ពីបើកដំណើរការទូរស័ព្ទ ឧបករណ៍នឹងស្នើឱ្យអ្នកប្រើប្រាស់បញ្ចូលពាក្យសម្ងាត់សម្រាប់បើកសោទូរស័ព្ទយ៉ាងតិចម្ដង» David Schutz វាយតម្លៃដូច្នេះ។ ការបញ្ចូលពាក្យសម្ងាត់បន្ទាប់ពីបើកដំណើរការម៉ាស៊ីន ក៏ជាដំណើរការដែលត្រូវបានតម្រូវនៅលើគ្រប់ឧបករណ៍ iOS ឬ Android នាបច្ចុប្បន្ន។
ក្រោយមក David Schutz ក៏បានធ្វើសាចុះសាឡើងដើម្បីបញ្ជាក់អំពីកំហុស និងធ្វើរបាយការណ៍។ David Schutz ក៏បានរកឃើញថា ទូរស័ព្ទរបស់គាត់មិនបានសួររកក្រយៅដៃ ប៉ុន្តែ អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់អេក្រង់កម្មវិធីដោយគ្រាន់តែបើកសោស៊ីម។
ទំព័រ Bleeping Computer វាយតម្លៃថា កំហុសនេះនឹងប៉ះពាល់ធ្ងន់ធ្ងរនៅក្នុងករណីមួយចំនួនដូចជា ទូរស័ព្ទត្រូវគេលួច ត្រូវគេរើសបាន ឬត្រូវប៉ូលិសស៊ើបអង្កេត។ល។
យោងតាមប្រកាសរបស់ Google កំហុសនេះប៉ះពាល់ដល់ឧករណ៍ទាំងអស់ដែលប្រើប្រាស់ Android កំណែ 10, 11, 12 និង 13 បើសិនមិនទាន់ធ្វើបច្ចុប្បន្នភាពកំណែជួសជុលខែវិច្ឆិកា 2022។ ដើម្បីមានសិទ្ធិចូលប្រើទូរស័ព្ទអ្នកដទៃ ជនទុច្ចរិតគ្រាន់តែប្រើប្រាស់ស៊ីមរបស់ពួកគេ (ដែលមានកូដ PUK ស្រាប់) និងស្កេនក្រយៅដៃ និងបញ្ចូល PIN ឱ្យខុសច្រើនដងដើម្បីឱ្យបិទសោស៊ីម ហើយក្រោយមកបញ្ចូលលេខកូដ PUK ដើម្បីបើកសោស៊ីម គឺជាការស្រេច។
ភាពយឺតយ៉ាវរបស់ Google
ក្រុមហ៊ុន Google បានចំណាយពេលយ៉ាងយូរដើម្បីជួសជុលកំហុសឆ្គងខាងលើនេះ។ យោងតាមសម្ដីរបស់ David Schutz នៅពេលរកឃើញកំហុសកាលពីខែមិថុនា គាត់បានរាយការណ៍ឱ្យ Google និងត្រូវបានផ្នែក Android VRP ទទួលយកភ្លាម។ David Schutz គ្រោងនឹងឆាប់ប្រកាសអំពីការរកឃើញរបស់ខ្លួននៅលើប្លក់ផ្ទាល់ខ្លួន បន្ទាប់ពី Google បញ្ចេញកំណែជួសជុស ហើយគាត់ក៏អាចទទួលបានប្រាក់រង្វាន់ពីកម្មវិធីប្រមាញ់កំហុសផ្នែកការពារទិន្នន័យរបស់ Google។ ការរកឃើញកំហុសធំបែបនេះ អ្នករាយការណ៍ដំបូងអាចទទួលបានប្រាក់រង្វាន់ឡើងដល់ 100,000 ដុល្លារអាម៉េរិក។
ប៉ុន្តែ 1 ខែក្រោយមក David Schutz បានទទួលដំណឹងពី Google ថា កំហុសដែលគាត់បានប្រទះឃើញ ត្រូវបានអ្នកស្រាវជ្រាវម្នាក់រាយការណ៍មុនគាត់បាត់ទៅហើយ ចំណែក Google ក៏កំពុងជួសជុសកំហុសនេះ។ ប្រការនេះមានន័យថា David Schutz មិនទទួលបានប្រាក់រង្វាន់ ហើយក៏មិនអាចប្រកាសអំពីកំហុសនេះ។
2 ខែក្រោយមកទៀត នៅពេលចូលរួមក្នុងព្រឹត្តិការណ៍ស្ដីពីការការពារភាពសម្ងាត់របស់ Google លោក David Schutz ក៏បានរកឃើញថា កំហុសនេះនៅតែមិនទាន់ត្រូវបានជួសជុលនៅឡើយ។ David Schutz ក៏បានជជែកដោយផ្ទាល់ជាមួយមនុស្សមួយចំនួននៅក្នុងផ្នែក Android VRP និងបានបង្ខំឱ្យពួកគេជួសជុលកំហុសនេះបន្ទាន់ មិនដូច្នេះទេ David Schutz នឹងប្រកាសជាសាធារណៈនៅចុងខែតុលា 2022។
ចុងក្រោយ កំហុសខាងលើក៏ត្រូវបាន Google ប្រកាសកាលពីដើមខែវិច្ឆិកា ដោយដាក់ឈ្មោះថា CVE-2022-20465។ លោក David Schutz បើទោះមិនមែនជាអ្នកដែលបានរកឃើញកំហុសខាងលើដំបូងគេ ប៉ុន្តែក៏បានទទួលប្រាក់រង្វាន់ 70,000 ដុល្លារអាម៉េរិក ដោយសាររបាយការណ៍ទីពីររបស់គាត់។ អ្នកប្រើប្រាស់ឧបករណ៍ Android ពិសេសគឺទូរស័ព្ទ Pixel ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធដំណើរការថ្មីបំផុតដើម្បីចៀសវាងកំហុសខាងលើនេះ៕
