O Google recentemente anunciou uma atualização mensal do Android onde rastreou e corrigiu a vulnerabilidade CVE-2022-20465, descoberta por um hacker. Após a colaboração com a empresa, o agente foi recompensado com cerca de R$ 350.000, veja todos os detalhes dessa falha.
Hacker ganha R$ 350.000 – Imagem: Reprodução/Pixabay
Veja como o hacker conseguiu driblar a tela de bloqueio do Google Pixel
Embora falemos em hacker, David Schütz, o responsável por descobrir a falha, atua de fato como pesquisador de segurança. Desse modo, em junho de 2022, ele conseguiu driblar o sistema de defesa do smartphone do Google.
Graças a esta brecha que ele encontrou, foi possível ignorar as proteções da tela, incluindo o sistema de impressão digital e PIN. Como o The Hacker News destacou, ao seguir uma sequência específica de etapas, é possível driblar esta proteção padrão em todos os aparelhos da Google.
Uma análise divulgada pela empresa através de um artigo, mostra que a falha é fruto de um “estado incorreto do sistema”. Assim, ele surgiu como resultado da interpretação incorreta da alteração do SIM. Desse modo, ele descarta a defesa da tela de bloqueio.
Os passos usados para desbloquear o smartphone Android
Ainda não se sabe se é possível fazer isso com outros aparelhos Android, contudo, em um conjunto de passos que qualquer pessoa pode executar, o Google Pixel perde toda a segurança:
- Comece fornecendo a impressão digital incorreta três vezes, isso desativa a autenticação biométrica;
- Agora o invasor precisa trocar o cartão SIM do dispositivo por um que ele tenha um código PIN configurado;
- Em seguida, basta digitar o PIN errado três vezes, isso bloqueará o PIN;
- Assim, o dispositivo pedirá que o usuário insira o código da chave de desbloqueio pessoal do SIM (PUK). Este é um código de 8 dígitos que desbloqueia o cartão SIM;
- Por fim, basta inserir o novo código PIN, usado para o SIM do invasor e o aparelho se desbloqueia.
Desse modo, fica explícito que uma pessoa não precisa de muito esforço para invadir telefone Pixel, apenas disposição e seu próprio cartão SIM bloqueado por PIN. Por fim, Schütz revelou que “não esperava causar uma mudança tão grande no código do Android com esse bug”.
Com informações: The Hacker News
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui