Rita El Khoury / Autoridade Android
TL;DR
- Um hacker encontrou um bug que supostamente afeta todos os telefones do Google Pixel.
- O bug permite que qualquer pessoa que conheça o exploit evite a tela de bloqueio.
- O problema foi corrigido na atualização de segurança de novembro.
A última coisa que alguém quer é que um estranho tenha acesso ao seu telefone. É toda a razão pela qual todos nós passamos pelo problema de configurar telas de bloqueio. Mas e se houvesse um bug que permitisse que alguém ignorasse sua tela de bloqueio? Um hacker descobriu exatamente isso e é algo que supostamente afeta todos os telefones do Google Pixel.
Existem hackers maliciosos e hackers éticos, enquanto o primeiro hackeia por motivos maliciosos, o último hackeia para ajudar a tornar as coisas mais seguras. O hacker ético, David Schutz, encontrou um bug preocupante por acaso depois que seu Pixel 6 morreu enquanto ele enviava um texto.
Em um post no blog, Schutz explica que depois que ele carregou seu telefone e o ligou, o telefone pediu o código PIN do cartão SIM para desbloquear o dispositivo. Depois de errar o código três vezes, o cartão SIM bloqueou e o telefone pediu o código PUK. Quando ele digitou o código PUK, o dispositivo pediu que ele configurasse um novo código PIN.
Quando tudo isso foi feito, ele finalmente foi levado para a tela de bloqueio, mas percebeu que algo não estava certo.
Era uma bota nova e, em vez do ícone de cadeado usual, o ícone de impressão digital estava aparecendo. Ele aceitou meu dedo, o que não deve acontecer, pois após uma reinicialização, você deve inserir o PIN ou senha da tela de bloqueio pelo menos uma vez para descriptografar o dispositivo. Depois de aceitar meu dedo, ele ficou preso em uma mensagem estranha “O Pixel está começando …” e ficou lá até que eu o reiniciei novamente.
Este incidente encorajou Schutz a aprofundar o assunto. Depois de reproduzir a situação algumas vezes, ele percebeu que tropeçou em algo que permitiria a alguém contornar facilmente a tela de bloqueio. Tudo o que era necessário era acesso físico ao telefone, um cartão SIM bloqueado e uma ferramenta para ejetar a bandeja do cartão SIM.
Abaixo, você pode ver um vídeo de Schutz reproduzindo a falha de segurança.
Schutz diz que, depois de confirmar a vulnerabilidade no Pixel 6, ele tentou a exploração em um Pixel 5. Com certeza, funcionou nesse telefone também. Após a descoberta, ele entrou em contato com o Google sobre o problema. Se ele fosse o primeiro a enviar este relatório, ele teria ganhado uma recompensa de US$ 100 mil, mas Schutz diz que foi a segunda pessoa a relatar o bug.
No entanto, o hacker acabou recebendo US $ 70 mil, pois foi seu relatório que fez o Google começar a trabalhar em uma correção. A vulnerabilidade (CVE-2022-20465) que afeta todos os telefones Pixel agora foi corrigida com o patch de segurança mais recente que chegou em 5 de novembro de 2022.
Para corrigir esse problema no seu Pixel, basta atualizar seu telefone com o patch de segurança de novembro. Você pode fazer isso indo até Configurações e rolando para baixo até Sistema. Quando você entrar no sistema, toque em Atualização do sistema e pressione o botão Verificar atualização.