Google pagó $ 70,000 a un investigador de seguridad por informar de forma privada un error de seguridad «accidental» que permitió a cualquier persona desbloquear teléfonos Google Pixel sin conocer su código de acceso.
El error de omisión de la pantalla de bloqueo, rastreado como CVE-2022-20465, se describe como un error de escalada local de privilegios porque permite que alguien, con el dispositivo en la mano, acceda a los datos del dispositivo sin tener que ingresar el código de acceso de la pantalla de bloqueo.
Investigador residente en Hungría David Schutz dijo que el error era notablemente simple de explotar, pero Google tardó unos cinco meses en solucionarlo.
Schütz descubrió que cualquier persona con acceso físico a un teléfono Google Pixel podía intercambiar su propia tarjeta SIM e ingresar su código de recuperación preestablecido para eludir las protecciones de la pantalla de bloqueo del sistema operativo Android. En una publicación de blog sobre el error, publicado ahora que se solucionó, Schütz describió cómo encontró el error accidentalmente y lo informó al equipo de Android de Google.
Las pantallas de bloqueo de Android permiten a los usuarios establecer un código de acceso numérico, una contraseña o un patrón para proteger los datos de su teléfono, o en estos días una huella digital o una impresión facial. La tarjeta SIM de su teléfono también puede tener un código PIN separado establecido para evitar que un ladrón expulse y robe físicamente su número de teléfono. Pero las tarjetas SIM tienen un código de desbloqueo personal adicional, o PUK, para restablecer la tarjeta SIM si el usuario ingresa incorrectamente el código PIN más de tres veces. Los códigos PUK son bastante fáciles de obtener para los propietarios de dispositivos, a menudo impresos en el paquete de la tarjeta SIM o directamente del servicio al cliente del operador de telefonía celular.
Schütz descubrió que el error significaba que ingresar el código PUK de una tarjeta SIM era suficiente para engañar a su teléfono Pixel 6 completamente parcheado y a su Pixel 5 anterior para desbloquear su teléfono y sus datos, sin mostrar visualmente la pantalla de bloqueo. Advirtió que otros dispositivos Android también podrían ser vulnerables.
Dado que un actor malicioso podría traer su propia tarjeta SIM y su código PUK correspondiente, solo se requiere acceso físico al teléfono, dijo. “El atacante podría simplemente intercambiar la SIM en el dispositivo de la víctima y realizar la explotación con una tarjeta SIM que tuviera un bloqueo de PIN y para la cual el atacante conociera el código PUK correcto”, dijo Schütz.
Google puede pagar a los investigadores de seguridad hasta $ 100,000 por informar de forma privada errores que podrían permitir que alguien eluda la pantalla de bloqueo, ya que una explotación exitosa permitiría el acceso a los datos de un dispositivo. Las recompensas por errores son altas en parte para competir con los esfuerzos de compañías como Cellebrite y Grayshift, que se basan en vulnerabilidades de software para construir y vender tecnología de descifrado de teléfonos a las fuerzas del orden. En este caso, Google le pagó a Schütz una recompensa por errores menor de $70,000 porque, si bien su error estaba marcado como duplicado, Google no pudo reproducir, ni corregir, el error informado antes que él.
Google corrigió el error de Android en una actualización de seguridad lanzada el 5 de noviembre de 2022 para dispositivos que ejecutan Android 10 a Android 13. Puede ver a Schütz explotando el error en su video a continuación.