无需输入密码，即可进入安卓系统！bug提交者获谷歌7万美元奖金

近日，一位匈牙利的研究人员David Schütz，向谷歌提交了一种不用输入锁屏密码即可解锁Pixel6手机的方法，——相当于是安全漏洞bug，该bug已通过了谷歌方面的验证，获得了7万美元的奖金。

据悉，这个漏洞是David Schütz偶然发现的，他的Pixel6手机在连接充电器重启后，要求输入SIM卡的PIN码才能进入系统，但是他已经忘记了密码。

这种PIN码和锁屏密码是分开的，它的设计目的是为了防止有人窃取SIM卡，Schütz记不住自己的密码，在他抱着侥幸心理连续输入了三个错误的密码后，SIM卡被锁定。

重置被锁定SIM卡的唯一方法是使用个人解锁代码或PUK码，这些信息通常印在SIM卡的上，用户也可以通过致电运营商的客服获得。

Schütz使用了前一种方法，Pixel手机提示允许他重置密码，但是过程中手机并没有提示必须要输入锁屏密码这一强制步骤，只要求扫描验证指纹就可通过。

经过反复尝试，Schütz发现在不重启设备的情况下，只要再现重复这些步骤就可以绕过锁屏密码直接解锁手机，甚至不需要检查指纹，文末为演示视频。Schütz表示，这种方法他在Pixel 6和Pixel 5手机都验证了，都可以顺利完成。

谷歌方面接到反馈后证实、确认了这个bug，定性为高危漏洞，被标注为“CVE-2022-20465”，称这个漏洞是由于“代码中存在逻辑错误，可能导致本地权限升级，而不需要额外的执行权限”所造成的。

谷歌在11月5日的最新Android更新中已经修复了这个漏洞，但是目前所有运行Android 10到Android 13系列，未更新至2022年11月补丁的设备仍然会受影响，请大家尽快更新。

按照惯例，谷歌会向提交严重bug的用户支持10万美元的奖金，但是Schütz只获得了7万美元，原因是在这之前已经有其它用户提交过相同的bug，但是反馈不详细，当时谷歌方面无法复制重现该漏洞。

视频加载中...