Google paga R$ 350.000 a hacker após dominar vulnerabilidade da tela de bloqueio do Google Pixel, entenda

O Google recentemente anunciou uma atualização mensal do Android onde rastreou e corrigiu a vulnerabilidade CVE-2022-20465, descoberta por um hacker. Após a colaboração com a empresa, o agente foi recompensado com cerca de R$ 350.000, veja todos os detalhes dessa falha.

Hacker ganha R$ 350.000 – Imagem: Reprodução/Pixabay

Veja como o hacker conseguiu driblar a tela de bloqueio do Google Pixel

Embora falemos em hacker, David Schütz, o responsável por descobrir a falha, atua de fato como pesquisador de segurança. Desse modo, em junho de 2022, ele conseguiu driblar o sistema de defesa do smartphone do Google.

Graças a esta brecha que ele encontrou, foi possível ignorar as proteções da tela, incluindo o sistema de impressão digital e PIN. Como o The Hacker News destacou, ao seguir uma sequência específica de etapas, é possível driblar esta proteção padrão em todos os aparelhos da Google.

Uma análise divulgada pela empresa através de um artigo, mostra que a falha é fruto de um “estado incorreto do sistema”. Assim, ele surgiu como resultado da interpretação incorreta da alteração do SIM. Desse modo, ele descarta a defesa da tela de bloqueio.

Os passos usados para desbloquear o smartphone Android

Ainda não se sabe se é possível fazer isso com outros aparelhos Android, contudo, em um conjunto de passos que qualquer pessoa pode executar, o Google Pixel perde toda a segurança:

• Comece fornecendo a impressão digital incorreta três vezes, isso desativa a autenticação biométrica;
• Agora o invasor precisa trocar o cartão SIM do dispositivo por um que ele tenha um código PIN configurado;
• Em seguida, basta digitar o PIN errado três vezes, isso bloqueará o PIN;
• Assim, o dispositivo pedirá que o usuário insira o código da chave de desbloqueio pessoal do SIM (PUK). Este é um código de 8 dígitos que desbloqueia o cartão SIM;
• Por fim, basta inserir o novo código PIN, usado para o SIM do invasor e o aparelho se desbloqueia.

Desse modo, fica explícito que uma pessoa não precisa de muito esforço para invadir telefone Pixel, apenas disposição e seu próprio cartão SIM bloqueado por PIN. Por fim, Schütz revelou que “não esperava causar uma mudança tão grande no código do Android com esse bug”.

Com informações: The Hacker News

O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui

Escrito por

Moyses Batista