Quando nós bloqueamos nosso Android telefone móvel , o que esperamos é que este estado seja precisamente uma proteção contra outros usuários que acessam nosso terminal, mas não podem usá-lo se não conhecerem o padrão ou PIN correspondente.
Bem, essa teoria não tem sido a prática em alguns telefones do sistema operacional do Google, pois um bug permite que qualquer um ignore a tela de bloqueio do um dispositivo Android.
Qualquer um pode desbloquear seu Android
Pesquisador de cibersegurança David Schütz é o autor da descoberta desta vulnerabilidade. Ele foi capaz de desbloquear tanto o Google Pixel 6 e o Google Pixel 5 sem precisar saber o código de desbloqueio.
Para isso, em um novo começo, depois que seu Pixel 6 ficou sem carga, ele digitou o código PIN incorretamente três vezes, o que sabemos que causa o bloqueio do celular e o Código PUK necessário para entrar no dispositivo .
Depois de desbloquear o cartão SIM e selecionar um novo PIN, o dispositivo não pediu a senha da tela de bloqueio , mas apenas pediu uma varredura de impressão digital. Como você sabe, você não deve ter a opção de usar sua impressão digital para desbloquear o telefone até que o desbloqueio seja bem-sucedido com a senha.
Afeta milhões de Android
Google corrigiu o problema de segurança na atualização mais recente do Android lançado na semana passada, mas está fora há pelo menos seis meses. No entanto, o impacto dessa vulnerabilidade de segurança é bastante amplo, afetando todos os dispositivos que executam as versões 10, 11, 12 e 13 do Android que não foram atualizados para o Atualização de novembro de 2022 nível. Fabricantes com camadas no Android nem sempre atualizam para o patch de segurança imediatamente, então alguns deles ainda estarão vulneráveis por algumas semanas.
Embora exija acesso físico ao dispositivo e, portanto, nos salve de possíveis ataques remotos, essa falha ainda pode causar grandes problemas de privacidade. Por exemplo, no caso de celulares roubados, o invasor pode simplesmente usar seu próprio cartão SIM no dispositivo de destino, digitar o PIN errado três vezes, fornecer o número PUK e obter acesso irrestrito ao dispositivo da vítima .
Schütz relatou o bug ao Google em junho de 2022. Já então, a gigante da tecnologia reconheceu o bug e atribuiu a ele um código CVE (Common Vulnerabilities and Exposures), CVE-2022-20465 , mas eles não publicaram uma correção até 7 de novembro de 2022. 2022. Por suas descobertas, Schütz recebeu US$ 70,000 por sua descoberta , o que dá uma ideia da importância de corrigir essa vulnerabilidade o quanto antes.
