Investigador de seguridad David Schutz(Se abre en una nueva ventana) descubrió por accidente una omisión fácil de la pantalla de bloqueo de Android después de que logró bloquearse a sí mismo de un teléfono inteligente Pixel 6.
La vulnerabilidad se encontró después de que Schutz pasó un día entero viajando y la batería de su teléfono se agotó. Al enchufar el cargador, el teléfono le pidió el código PIN de su SIM, que él no sabía y, por lo tanto, estaba bloqueado. Tres intentos fallidos de código PIN más tarde y el teléfono solicitó el código PUK de la tarjeta SIM, que se encuentra en el paquete en el que llega la tarjeta SIM.
Schutz encontró el código PUK, lo ingresó en el teléfono y se le pidió que estableciera un nuevo PIN. Al hacerlo, notó que se mostraba el icono de la huella dactilar en lugar del icono del candado. Luego, el teléfono aceptó su huella digital, pero se atascó en el mensaje «Pixel está comenzando…».
Investigación exahustiva(Se abre en una nueva ventana) reveló que podía seguir una secuencia de pasos, incluido el intercambio en caliente de la bandeja SIM y omitir la pantalla de bloqueo por completo. El proceso para lograrlo se muestra en el video de arriba y funciona para todos los teléfonos Google Pixel.
Afortunadamente, el bypass ahora se ha solucionado como parte de la actualización de seguridad del 5 de noviembre de 2022. Cuando Schutz presentó originalmente su informe de error, la tabla de montos de recompensa de Android(Se abre en una nueva ventana) sugirió que podría estar en línea para una recompensa de $ 100,000. Sin embargo, el error se marcó posteriormente como duplicado, lo que significa que no obtendría nada. Sin embargo, ese no fue el final de la historia.
Recomendado por Nuestros Editores
Schutz informó el error en junio(Se abre en una nueva ventana), un mes después se marcó como duplicado, pero cuando se lanzó el parche de seguridad de septiembre, el bypass aún se podía usar. Schutz estaba en el evento ESCAL8 de Google en Londres en ese momento, por lo que decidió demostrar el bypass en los teléfonos Pixel en la oficina de Google.
El equipo del Programa de recompensas por vulnerabilidad de Android se dio cuenta, escuchó toda la historia sobre el error y se planificó una solución para noviembre. Schutz terminó recibiendo una recompensa de $ 70,000 porque, aunque su error era un duplicado, «fue solo por mi informe que comenzaron a trabajar en la solución», por lo que el equipo de VRP hizo una excepción a las reglas y le pagó una suma generosa.
¡Obtenga nuestras mejores historias!
Matricularse en ¿Qué hay de nuevo ahora? para recibir nuestras mejores historias en su bandeja de entrada todas las mañanas.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.