CVE-2022-20006 เป็นผลมาจากเหตุการณ์ที่ซ้อนอยู่ในลำดับการประมวลผล
พบช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถข้ามผ่านหน้าจอ Lock Screen ของอุปกรณ์ Android ภายใต้รหัส
CVE-2022-20006 ที่ใช้ประโยชน์จากคุณลักษณะ Multi-user ที่อุปกรณ์มีไว้เพื่อแชร์กันสำหรับ User หลายคน ซึ่งแต่ User จะมีโปรไฟล์ของตนเองบนอุปกรณ์รวมถึงแอปพลิเคชัน และการกําหนดค่าที่ปรับให้เหมาะกับความต้องการเฉพาะ หรือปรับให้เหมาะกับแต่ละบทบาทการใช้งานของแต่ละ User
CVE-2022-20006 เป็นผลมาจากเหตุการณ์ที่ซ้อนอยู่ในลำดับการประมวลผลหลักของระบบ UI บน Android โดยที่เหตุการณ์นี้จะขัดขวางกระบวนการรักษาความปลอดภัยที่สําคัญ เช่น การดำเนินการที่เกี่ยวข้องกับ Lock Screen Keyguard ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ที่สูงในเครื่อง แม้เปิดใช้งานในบทบาทของ Gest User
Google ได้เผยแพร่การบรรเทาผลกระทบในแพตช์ความปลอดภัยเดือนมิถุนายน 2565 โดยให้ความสําคัญกับเหตุการณ์ที่เฉพาะเจาะจงกับการ Lock Screen เพื่อป้องกันไม่ให้เกิดสถานการณ์นี้ขึ้น แพตช์ความปลอดภัย
เดือนมิถุนายน 2565 ถูกปรับใช้ผ่าน Build SQ3A.220605.009.A1 และ SQ3A.220605.009.B1 ซึ่งขึ้นอยู่กับ
รุ่นของอุปกรณ์โดยเวอร์ชัน AOSP ที่อัปเดตผลิตภัณฑ์แล้ว ใน Android รุ่น Android-10 Android-11 Android-12
Android-12L
คำแนะนำ
- สามารถอัปเดตแพตช์ ตามคําแนะนําสําหรับการอัปเดตอุปกรณ์ โดยสามารถดูได้ที่ Google Android GIT CVE-2022–20006 Mitigation (https://bit.ly/3RqdJzd)
- อัปเดตอุปกรณ์อย่างสม่ำเสมอ เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่ที่มีอยู่
Ref : https://medium.com/maverislabs/lock-screen-bypass-exploit-of-android-devices-cve-2022-20006-604958fcee3a