HackerNws编译,转载请注明出处:
研究人员Jose Rodriguez在 Android 14和13中发现了一个能绕过锁屏的漏洞,该漏洞可能会暴露用户 Google 帐户中照片、联系人、浏览记录等多项敏感数据。
几个月前,该研究人员在多个平台上发布消息,包括Twitter、Reddit和Telegram,询问是否可能从锁屏界面打开Google Maps链接,因为他无法在他的Pixel上锁定的情况下完成这个操作。
Rodriguez发现可以绕过锁定屏幕,并声称谷歌也意识到这个问题至少六个月,但尚未解决。
他在5月份向谷歌报告了这个问题,并指出到11月底,谷歌仍然没有计划进行安全更新的日期。
Rodriguez解释说,漏洞利用的影响因用户安装和配置谷歌地图而异。如果激活驾驶模式,严重程度会显著升级。
以下是研究人员描述的两种情况以及相关的严重性级别:
- 如果用户未激活“驾驶模式”:攻击者可以访问最近和常用的地点(如家、工作地点),同时还能够获取联系人信息,并与联系人实时分享位置,或者通过手动输入攻击者可以进入的电子邮件地址进行位置共享。
- 如果用户已激活了“驾驶模式”:除了前述访问权限外,攻击者还可以通过链接另一个漏洞访问设备的照片,将其发布或添加为账户的个人资料图片。此外,攻击者还能够访问Google账户或多个账户的广泛信息和配置,有可能从第二个设备获取对该账户的完全访问权限,以及其他尚待调查的内容。
Rodriguez敦促Android用户在手机上测试屏幕锁定绕过功能,并提供他们的评论,包括Android版本和设备的型号。
内容来源:SecurityAffairs,译者:Claire;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文