Cuando bloqueamos nuestro teléfono móvil Android, lo que esperamos es que ese estado sea precisamente una protección frente a otros usuarios que accedan a nuestro terminal, pero no puedan hacer uso del mismo si no conocen el patrón o PIN correspondiente.
Pues bien, esa teoría no ha sido la práctica en algunos teléfonos del sistema operativo de Google, ya que un fallo permite a cualquier persona eludir la pantalla de bloqueo de un dispositivo Android.
Cualquiera podía desbloquear tu Android
El investigador de ciberseguridad David Schütz es el autor del hallazgo de esta vulnerabilidad. Pudo desbloquear tanto el Google Pixel 6 como el Google Pixel 5 sin necesidad de conocer el código de desbloqueo.
Para ello, en un inicio desde cero, tras quedarse sin carga su Pixel 6, introdujo incorrectamente el código PIN tres veces, lo que sabemos que causa el bloqueo del móvil y que se necesite el código PUK para poder ingresar al dispositivo.
Después de desbloquear la tarjeta SIM y seleccionar un nuevo PIN, el dispositivo no solicitó la contraseña de la pantalla de bloqueo, sino que solo solicitó un escaneo de huellas dactilares. Como sabéis, no se debería tener la opción de usar tu huella dactilar para desbloquear el teléfono hasta después de un desbloqueo exitoso con el código de acceso.
Afecta a millones de Android
Google solucionó el problema de seguridad en la última actualización de Android lanzada la semana pasada, pero ha estado disponible durante al menos seis meses. Sin embargo, el impacto de esta vulnerabilidad de seguridad es bastante amplio y afecta a todos los dispositivos que ejecutan las versiones 10, 11, 12 y 13 de Android que no se han actualizado al nivel de parche de noviembre de 2022. No siempre los fabricantes con capas sobre Android actualizan al parche de seguridad inmediatamente, por lo que algunos de ellos todavía quedarán vulnerables durante unas semanas.
Aunque se requiere acceso físico al dispositivo y por tanto nos libra de posibles ataques remotos, este fallo todavía puede causar enormes problemas en temas de privacidad. Por ejemplo, en el caso de móviles robados, el atacante puede simplemente usar su propia tarjeta SIM en el dispositivo de destino, ingresar el PIN incorrecto tres veces, proporcionar el número PUK y acceder al dispositivo de la víctima sin restricciones.
Schütz informó del fallo a Google en junio de 2022. Ya entonces el gigante tecnológico reconoció el fallo y le asignó un código CVE (Common Vulnerabilities and Exposures), el CVE-2022-20465, pero no publicaron una solución hasta el 7 de noviembre de 2022. Por sus hallazgos, Schütz ha sido recompensado con 70.000 dólares por su hallazgo, lo que da una idea de la importancia que tenía corregir esta vulnerabilidad cuanto antes.
