Um pesquisador se depara com uma falha perigosa do Android que ignora a tela de bloqueio

by

Você já encontrou um recurso em seu telefone por acidente? Este escritor se lembra de ter descoberto que uma rolagem rápida na parte inferior da tela do Pixel 2 XL me levaria à minha primeira página da tela inicial ao navegar por outras páginas da tela inicial. Atenciosamente agora usa esse atalho o tempo todo no iPhone 11 Pro Max e agora no meu Pixel 6 Pro.

Pesquisador se depara com séria vulnerabilidade do Android

Às vezes você pode encontrar algo mais perigoso; algo que pode ameaçar a segurança dos dados pessoais em seu telefone. De acordo com computador apitandoo pesquisador de segurança cibernética David Schütz descobriu uma maneira de contornar a tela de bloqueio dos aparelhos Pixel 6 e Pixel 5. Isso pode permitir que qualquer pessoa que conheça esse método e possua o telefone vá diretamente para a tela inicial .

Segundo o relatório, leva apenas cinco passos e alguns minutos para usar este hack. A boa notícia é que o Google corrigiu essa vulnerabilidade na atualização de segurança do Android lançada em 7 de novembro. A má notícia é que o hack estava disponível para os invasores por pelo menos seis meses antes do lançamento do patch. Mas para aqueles que nunca desejam instalar uma atualização de segurança, aqui estão os motivos pelos quais é importante instalar cada uma delas.

Schütz disse que descobriu a falha por acidente depois que a bateria do Pixel 6 acabou. Ele digitou o PIN incorretamente três vezes e recuperou o cartão SIM bloqueado usando o código PUK (Personal Unblocking Key). O PUK é usado para redefinir um código PIN perdido ou esquecido. Essas informações podem ser obtidas com seu provedor de serviços sem fio. Normalmente, depois de desbloquear o cartão SIM e selecionar um novo PIN, um telefone Android solicita a senha ou padrão da tela de bloqueio por motivos de segurança.

Mas, graças à falha, Schütz disse que seu Pixel 6 solicitou uma varredura de impressão digital, o que é considerado um comportamento incomum. Depois de brincar com o dispositivo, ele descobriu que, se iniciasse o processo em seu Pixel 6 quando ele já estava desbloqueado, o telefone ignoraria a solicitação de digitalização da impressão digital e permitiria que a pessoa que segurasse o dispositivo tivesse acesso direto à tela inicial.

Os telefones Android que executam essas versões do sistema operacional são vulneráveis

Os telefones com Android 10, 11, 12 e 13 sem o patch de segurança de novembro de 2022 permanecem vulneráveis ​​a hackers. Vamos enfrentá-lo, explorar essa vulnerabilidade exige que o invasor esteja de posse do telefone visado e desbloqueado. Mas se o seu aparelho foi roubado, ou recuperado por aplicação da lei em uma intimação, ou simplesmente desapareceu, a pessoa em posse do dispositivo pode trocar o cartão SIM que ele contém pelo de seu telefone, desabilitar a autenticação biométrica, inserir o endereço errado PIN número três vezes e digite o número PUK. Essa pessoa agora tem acesso à tela inicial do seu telefone.

Schütz relatou a vulnerabilidade ao Google em junho passado, e as temperaturas mais baixas e o pôr do sol mais cedo devem lembrá-lo de que não estamos mais aproveitando a temporada de verão. Por seus problemas, Schütz recebeu $ 70.000 por Google por trazer essa falha à sua atenção. A unidade da Alphabet designou um número CVE-2022-20465 de vulnerabilidades e exposições comuns (CVE) para a falha.

Então, o que aprendemos aqui? Bem, aprendemos que jogar em seu telefone pode ajudá-lo a encontrar uma vulnerabilidade, especialmente se você for um pesquisador de segurança cibernética. Aprendemos que é importante instalar as atualizações de segurança assim que estiverem disponíveis (geralmente na primeira segunda-feira de cada mês para aparelhos Android). E também aprendemos que às vezes é melhor ser egoísta e se recusar a emprestar seu telefone para alguém porque ele precisa fazer uma ligação, mesmo que seja uma chamada de emergência.

Desculpe ser tão duro, mas houve casos em que alguém pediu para fazer uma ligação para fins de emergência e depois fugiu com o aparelho do Bom Samaritano. Em caso de emergência, você pode dizer à pessoa que fará a ligação em seu nome.