Um pesquisador se depara com uma falha perigosa do Android que ignora a tela de bloqueio

Você já encontrou um recurso no seu telefone por acidente? Este escritor se lembra de descobrir que uma rolagem rápida da parte inferior da tela do Pixel 2 XL me levaria à minha primeira página da tela inicial ao navegar por outras páginas da tela inicial. Atenciosamente, agora usa esse atalho o tempo todo no iPhone 11 Pro Max e agora o usa no meu Pixel 6 Pro.

Pesquisador se depara com grave vulnerabilidade do Android

Às vezes você pode encontrar algo mais perigoso; algo que possa ameaçar a segurança dos dados pessoais em seu telefone. De acordo com BeepComputero pesquisador de segurança cibernética David Schütz descobriu uma maneira de contornar a tela de bloqueio dos aparelhos Pixel 6 e Pixel 5. Isso pode permitir que qualquer pessoa que conheça esse método e possua o telefone vá diretamente para a tela inicial.

De acordo com o relatório, são necessários apenas cinco passos e alguns minutos para usar esse hack. A boa notícia é que o Google corrigiu essa vulnerabilidade na atualização de segurança do Android de novembro lançada em 7 de novembro. A má notícia é que o hack estava disponível para os invasores por pelo menos seis meses antes do lançamento do patch. Mas para aqueles que nunca querem instalar uma atualização de segurança, aqui estão as razões pelas quais é importante instalar cada uma.

Schütz disse que descobriu a falha acidentalmente depois que a bateria do Pixel 6 acabou. Ele digitou seu PIN incorretamente três vezes e recuperou o cartão SIM bloqueado usando o código PUK (Personal Unblocking Key). O PUK é usado para redefinir um código PIN perdido ou esquecido. Essas informações podem ser obtidas com seu provedor de serviços sem fio. Normalmente, depois de desbloquear o cartão SIM e selecionar um novo PIN, um telefone Android solicita a senha ou padrão da tela de bloqueio por motivos de segurança.

Mas, graças à falha, Schütz disse que seu Pixel 6 solicitou uma verificação de impressão digital, o que é considerado um comportamento incomum. Depois de brincar com o dispositivo, ele descobriu que, se iniciasse o processo em seu Pixel 6 quando já estivesse desbloqueado, o telefone ignoraria a solicitação de digitalização de impressão digital e permitiria que a pessoa com o dispositivo tivesse acesso direto à tela inicial.

Os telefones Android que executam essas versões do sistema operacional são vulneráveis

Os telefones que executam o Android 10, 11, 12 e 13 sem o patch de segurança de novembro de 2022 permanecem vulneráveis ​​a hackers. Vamos ser sinceros, explorar essa vulnerabilidade exige que o invasor esteja de posse do telefone alvo e desbloqueado. Mas se o seu dispositivo foi roubado, ou recuperado pela polícia em uma intimação, ou simplesmente desapareceu, a pessoa em posse do dispositivo pode trocar o cartão SIM que ele contém pelo de seu telefone, desabilitar a autenticação biométrica, inserir o Número PIN três vezes e digite o número PUK. Essa pessoa agora tem acesso à tela inicial do seu telefone.

Schütz relatou a vulnerabilidade ao Google em junho passado, e as temperaturas mais baixas e o pôr do sol mais cedo devem lembrá-lo de que não estamos mais aproveitando a temporada de verão. Por seus problemas, Schütz recebeu US$ 70.000 por Google por trazer essa falha à sua atenção. A unidade Alphabet designou um número de Vulnerabilidades e Exposições Comuns (CVE) de CVE-2022-20465 para a falha.

Então, o que aprendemos aqui? Bem, aprendemos que jogar em seu telefone pode ajudá-lo a encontrar uma vulnerabilidade, especialmente se você for um pesquisador de segurança cibernética. Aprendemos que é importante instalar atualizações de segurança assim que estiverem disponíveis (geralmente na primeira segunda-feira de cada mês para aparelhos Android). E também aprendemos que às vezes é melhor ser egoísta e se recusar a emprestar seu telefone a alguém porque eles precisam fazer uma ligação, mesmo uma ligação de emergência.

Desculpe ser tão duro, mas houve casos em que alguém pediu para fazer uma ligação para fins de emergência e depois fugiu com o aparelho do Bom Samaritano. Em caso de emergência, você pode dizer à pessoa que fará a ligação em nome dela.