Quand nous bloquons notre Android téléphone mobile , ce que nous espérons, c'est que cet état est précisément une protection contre les autres utilisateurs qui accèdent à notre terminal, mais ne peuvent pas l'utiliser s'ils ne connaissent pas le modèle ou le code PIN correspondant.
Eh bien, cette théorie n'a pas été la pratique dans certains téléphones du système d'exploitation Google, depuis un bug permet à quiconque de contourner l'écran de verrouillage de un appareil Android.
N'importe qui peut déverrouiller votre Android
Chercheur en cybersécurité David Schütz est l'auteur de la découverte de cette vulnérabilité. Il a pu déverrouiller à la fois le Google Pixel 6 et le Google Pixel 5 sans avoir besoin de connaître le code de déverrouillage.
Pour ce faire, dans un nouveau départ, après que son Pixel 6 se soit épuisé, il a saisi trois fois le code PIN par erreur, ce qui, nous le savons, provoque le verrouillage du mobile et le Code PUK nécessaire pour entrer dans l'appareil .
Après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, l'appareil n'a pas demandé le mot de passe de l'écran de verrouillage , mais a seulement demandé une analyse d'empreintes digitales. Comme vous le savez, vous ne devriez pas avoir la possibilité d'utiliser votre empreinte digitale pour déverrouiller le téléphone avant un déverrouillage réussi avec le mot de passe.
Affecte des millions d'Android
Google correction du problème de sécurité dans la dernière mise à jour Android sorti la semaine dernière, mais il est sorti depuis au moins six mois. Cependant, l'impact de cette vulnérabilité de sécurité est assez large, affectant tous les appareils exécutant les versions Android 10, 11, 12 et 13 qui n'ont pas été mis à jour vers la Patch de novembre 2022 niveau. Les fabricants avec des couches sur Android ne mettent pas toujours à jour le correctif de sécurité immédiatement, donc certains d'entre eux seront encore vulnérables pendant quelques semaines.
Même si elle nécessite un accès physique à l'appareil et nous évite donc d'éventuelles attaques à distance, cette faille peut toujours causer d'énormes problèmes de confidentialité. Par exemple, dans le cas de mobiles volés, l'attaquant peut simplement utiliser sa propre carte SIM dans l'appareil cible, entrer trois fois le mauvais code PIN, fournir le numéro PUK et obtenir un accès illimité à l'appareil de la victime .
Schütz a signalé le bogue à Google en juin 2022. Déjà à ce moment-là, le géant de la technologie a reconnu le bogue et lui a attribué un code CVE (Common Vulnerabilities and Exposures), CVE-2022-20465 , mais ils n'ont publié de correctif que le 7 novembre 2022. 2022. Pour ses conclusions, Schütz a reçu 70,000 XNUMX $ pour sa découverte , ce qui donne une idée de l'importance de corriger cette vulnérabilité le plus tôt possible.
