O que acabou de acontecer? Se você está procurando uma maneira de ganhar muito dinheiro rapidamente, pode tentar encontrar uma vulnerabilidade de segurança e reivindicar a recompensa do bug bounty. Um pesquisador recebeu um pagamento de $ 70.000 do Google depois que descobriu uma maneira de desbloquear telefones Android sem uma senha, e ele fez isso por acidente.
O pesquisador da Hungria, David Schütz, relatou o bug de alta gravidade, rastreado como CVE-2022-20465, que é descrito como um desvio da tela de bloqueio devido a um erro lógico no código que pode levar à escalação local de privilégio sem privilégios de execução adicionais precisava.
Embora a exploração exija que um dispositivo Android esteja em posse do invasor, é uma maneira eficaz de contornar um bloqueio de tela protegido por um PIN, forma, senha, impressão digital ou rosto. Schütz descobriu a falha depois de viajar por 24 horas e seu Pixel 6 morrer enquanto ele enviava uma série de mensagens de texto.
Após conectar o carregador e reiniciar o aparelho, o Pixel pediu o código PIN do SIM, que é separado do código da tela de bloqueio; ele foi projetado para impedir que alguém roube fisicamente seu SIM e o use. Schütz não conseguia se lembrar de seu código, fazendo com que o SIM travasse depois que ele inseriu três números incorretos.
A única maneira de redefinir o SIM bloqueado é usar o código de desbloqueio pessoal ou PUK. Eles geralmente são impressos na embalagem do cartão SIM ou podem ser obtidos ligando para o suporte ao cliente da operadora. Schütz usou o primeiro, permitindo que ele redefinisse o PIN. Mas, em vez de ver uma solicitação de senha de tela de bloqueio, o Pixel pediu apenas uma digitalização de impressão digital; Os dispositivos Android solicitam senhas/PINs após uma reinicialização por motivos de segurança.
Schütz experimentou essa anomalia. Eventualmente, ele descobriu que reproduzir essas ações sem reiniciar o dispositivo permitia um desvio total da tela de bloqueio – nem mesmo uma impressão digital era necessária. Você pode ver o processo em ação acima.
Schütz diz que o processo funcionou em seu Pixel 6 e Pixel 5. O Google o corrigiu na última atualização do Android em 5 de novembro, mas os criminosos poderiam explorá-lo por pelo menos seis meses. Todos os dispositivos com Android 10 a Android 13 que não foram atualizados para o patch de novembro de 2022 ainda estão vulneráveis.
O Google pode pagar até US $ 100.000 para aqueles que relatam erros de bypass da tela de bloqueio. Schütz recebeu a quantia menor de $ 70.000 porque alguém já havia relatado o que ele descobriu, mas o Google não conseguiu reproduzi-lo.