Investigador demostró cómo omitir la pantalla de bloqueo de Android en unos segundos
El investigador de seguridad cibernética David Schütz encontró accidentalmente una forma de evadir la pantalla de bloqueo en sus teléfonos inteligentes Google Pixel 6 y Pixel 5 completamente parcheados. Esta vulnerabilidad permite que cualquier persona con acceso físico al dispositivo pueda desbloquearlo.
Aprovechar la vulnerabilidad para evadir la pantalla de bloqueo en los teléfonos Android es un proceso simple de cinco pasos que no tomaría más de unos minutos.
Las pantallas de bloqueo de Android permiten a los usuarios establecer un código de acceso numérico, una contraseña o un patrón para proteger los datos de su teléfono, o en estos días una huella digital o una impresión facial. La tarjeta SIM de tu teléfono también puede tener un código PIN separado establecido para evitar que un ladrón expulse y robe físicamente tu número de teléfono. Pero las tarjetas SIM tienen un código de desbloqueo personal adicional, o PUK, para restablecer la tarjeta SIM si el usuario ingresa incorrectamente el código PIN más de tres veces. Los códigos PUK son bastante fáciles de obtener para los propietarios de dispositivos, a menudo impresos en el paquete de la tarjeta SIM o directamente del servicio al cliente del operador de telefonía celular.
Google solucionó el problema de seguridad en la última actualización de Android lanzada la semana pasada. Sin embargo, permaneció disponible para su explotación durante al menos seis meses.
Hallazgo accidental
Schütz dice que descubrió la vulnerabilidad por accidente después de que su Pixel 6 se quedó sin batería, ingresó su PIN incorrecto tres veces y recuperó la tarjeta SIM bloqueada usando el código PUK (Clave de desbloqueo personal).
Para su sorpresa, después de desbloquear la tarjeta SIM y seleccionar un nuevo PIN, el dispositivo no solicitó la contraseña de la pantalla de bloqueo, sino que sólo solicitó un escaneo de huellas dactilares.
Los dispositivos Android siempre solicitan una contraseña o patrón de pantalla de bloqueo al reiniciar por razones de seguridad, por lo que ir directamente al desbloqueo de huellas dactilares no era normal.
El investigador continuó experimentando, y cuando intentó reproducir la vulnerabilidad sin reiniciar el dispositivo, pensó que era posible ir directamente a la pantalla de inicio (omitir la huella digital también), siempre que el dispositivo haya sido desbloqueado por el propietario al menos una vez desde el reinicio. A continuación, puedes ver la demostración.
El impacto de esta vulnerabilidad de seguridad es bastante amplio. La vulnerabilidad afecta a todos los dispositivos que ejecutan las versiones 10, 11, 12 y 13 de Android que no se han actualizado al nivel de parche de noviembre de 2022.
El acceso físico a un dispositivo es un requisito previo importante. Sin embargo, la vulnerabilidad aún conlleva graves implicaciones para las personas con cónyuges abusivos, las que están bajo investigaciones policiales, los propietarios de dispositivos robados, etc.
El atacante puede simplemente usar su propia tarjeta SIM en el dispositivo de destino, ingresar el PIN incorrecto tres veces, proporcionar el número PUK y acceder al dispositivo de la víctima sin restricciones.
Parches de Google
El problema se debe a que el bloqueo del teclado se descartó incorrectamente después de un desbloqueo del SIM PUK. Esto debido a un conflicto en las llamadas de descartes que afecta al conjunto de pantallas de seguridad que se ejecutan en el cuadro de diálogo.
Cuando Schütz ingresó el número PUK correcto, una función “dismiss” fue llamada dos veces, una por un componente en segundo plano que monitorea el estado de la tarjeta SIM y otra por el componente PUK.
Esto hizo que no solo se descartara la pantalla de seguridad PUK, sino también la siguiente pantalla de seguridad en el conjunto. Es decir, el bloqueo de teclado, seguida de la siguiente pantalla en cola en el conjunto.
Si no hay otra pantalla de seguridad, el usuario accedería directamente a la pantalla de inicio.
Schütz informó la vulnerabilidad a Google en junio de 2022, y aunque el gigante tecnológico reconoció la recepción y asignó una ID de CVE de CVE-2022-20465, no publicaron una solución hasta el 7 de noviembre de 2022 .
La solución de Google es incluir un nuevo parámetro para el método de seguridad utilizado en cada llamada de “dismiss” para que las llamadas descarten tipos específicos de pantallas de seguridad y no solo la siguiente en el conjunto.
Recompensa por la vulnerabilidad
Al final, aunque el informe de Schütz era un duplicado, Google hizo una excepción y otorgó al investigador 70,000 dólares por su hallazgo.
Google puede pagar a los investigadores de seguridad hasta $100,000 por informar de forma privada vulnerabilidades que podrían permitir que alguien omita la pantalla de bloqueo, ya que una explotación exitosa permitiría el acceso a los datos de un dispositivo. Las recompensas por errores son altas en parte para competir con los esfuerzos de compañías como Cellebrite y Grayshift, que se basan en vulnerabilidades de software para construir y vender tecnología de descifrado de teléfonos a las autoridades.
Los usuarios de Android 10, 11, 12 y 13 pueden corregir esta vulnerabilidad aplicando la actualización de seguridad del 7 de noviembre de 2022.