diciembre 3, 2022

Blog de Habeas Data

Encuentra toda la información nacional e internacional sobre españa. Seleccione los temas sobre los que desea saber más

El propietario de un teléfono Android encuentra accidentalmente una forma de eludir la pantalla de bloqueo

El investigador de seguridad cibernética David Schütz encontró accidentalmente una forma de eludir la pantalla de bloqueo en sus teléfonos inteligentes Google Pixel 6 y Pixel 5 completamente parcheados, lo que permite que cualquier persona con acceso físico al dispositivo pueda desbloquearlo.

Aprovechar la vulnerabilidad para eludir la pantalla de bloqueo en los teléfonos Android es un proceso simple de cinco pasos que no llevará más de unos minutos.

Google solucionó el problema de seguridad en la última actualización de Android lanzada la semana pasada, pero ha estado abierto para su explotación durante al menos seis meses.

Descubrimiento accidental

Schutz dice El error fue descubierto por casualidad. Después de que se agotó la batería de su Pixel 6, ingresó el PIN incorrecto tres veces y recuperó la tarjeta SIM bloqueada con el código PUK (clave de desbloqueo personal).

Para su sorpresa, después de desbloquear la SIM y elegir un nuevo PIN, el dispositivo no solicitó la contraseña de la pantalla de bloqueo, sino que solo solicitó un escaneo de huellas dactilares.

Los dispositivos Android siempre solicitan una contraseña o patrón de bloqueo de pantalla cuando se reinician por razones de seguridad, por lo que ir directamente al desbloqueo de huellas dactilares no era algo natural.

El investigador continuó experimentando, y cuando trató de reproducir el error sin reiniciar el dispositivo y comenzando desde un estado desbloqueado, descubrió que también era posible omitir la indicación de huella digital e ir directamente a la pantalla de inicio.

El impacto de esta vulnerabilidad es muy amplio y afecta a todos los dispositivos con las versiones de Android 10, 11, 12 y 13 que no se actualizaron al nivel de parche en noviembre de 2022.

READ  La actualización de Cyberpunk 2077 Next Generation será gratuita para los propietarios de PS4 y Xbox One

El acceso físico a un dispositivo es un requisito previo importante. Sin embargo, la falla aún tiene serias repercusiones para las personas que abusan de sus cónyuges, que están sujetas a investigaciones policiales, propietarios de dispositivos robados, etc.

Un atacante puede simplemente usar su tarjeta SIM en el dispositivo de destino, deshabilitar la autenticación biométrica (si está bloqueada), ingresar el PIN incorrecto tres veces, proporcionar el número PUK y obtener acceso al dispositivo de la víctima sin restricciones.

parches de google

El problema es causado por el rechazo incorrecto del bloqueo del teclado después de abrir el PUK de la tarjeta SIM debido a un conflicto en las llamadas de rechazo que afecta el conjunto de pantallas de seguridad que se ejecutan en el cuadro de diálogo.

Cuando Schutz ingresó el número PUK correcto, la función «Rechazar» fue llamada dos veces, una vez por el componente backend que monitorea el estado de la SIM y otra vez por el componente PUK.

Esto no solo hizo que se excluyera la pantalla de seguridad PUK, sino que también excluyó la siguiente pantalla de seguridad en la pila, el bloqueo de teclado, seguido de cualquier pantalla que estuviera a continuación en la cola de la pila.

Si no existe otra pantalla de seguridad, el usuario irá directamente a la pantalla principal.

Schutz informó la falla a Google en junio de 2022, y aunque el gigante tecnológico reconoció la recepción y asignó una ID de CVE a CVE-2022-20465Ni siquiera han estrenado la reforma. 7 noviembre 2022.

solucion de google Se trata de la inclusión de un nuevo parámetro para el método de seguridad utilizado en cada llamada «Rechazar» para que las llamadas rechacen cierto tipo de pantallas de seguridad y no sólo la siguiente del grupo.

READ  Gaming YouTuber Dunkey crea una editorial de juegos independiente

Al final, aunque el informe de Schutz era un duplicado, Google hizo una excepción y otorgó al investigador 70.000 dólares por su descubrimiento.

Los usuarios de Android 10, 11, 12 y 13 pueden corregir esta falla aplicando la actualización de seguridad del 7 de noviembre de 2022.