Une vulnérabilité affectant « apparemment tous » les téléphones Google Pixel aurait pu permettre à des participants indésirables d’accéder à un appareil Pixel verrouillé.
D’après un article de blog (s’ouvre dans un nouvel onglet) par le chercheur en cybersécurité David Schütz, dont le rapport de bogue a convaincu Google d’agir, le bogue n’a été corrigé pour les téléphones Android en question qu’à la suite d’une mise à jour de sécurité du 5 novembre 2022, environ six mois après le dépôt de son rapport de bogue.
La vulnérabilité, qui est suivie comme CVE-2022-20465 (s’ouvre dans un nouvel onglet)permettait à un attaquant disposant d’un accès physique de contourner les protections de l’écran de verrouillage, telles que les empreintes digitales et le code PIN, et d’obtenir un accès complet à l’appareil de l’utilisateur.
Comment l’exploit a-t-il fonctionné ?
Schütz, qui a affirmé que le précédent rapport de bogue d’un autre chercheur signalant le problème avait été ignoré, a déclaré que l’exploit était simple et facilement reproductible.
Cela impliquait de verrouiller une carte SIM en saisissant trois fois le mauvais code PIN, de réinsérer le plateau SIM, de réinitialiser le code PIN en saisissant le code PUK de la carte SIM (qui devrait être fourni avec l’emballage d’origine), puis de choisir un nouveau code PIN.
Étant donné que l’attaquant pouvait simplement apporter sa propre carte SIM verrouillée par un code PIN, rien d’autre qu’un accès physique n’était nécessaire pour exécuter l’exploit, selon Schütz.
Les attaquants potentiels pourraient simplement échanger une telle carte SIM dans l’appareil de la victime et exécuter l’exploit avec une carte SIM dotée d’un verrou PIN et pour laquelle l’attaquant connaissait le code PUK correct.
Au crédit de Google, malgré la gravité de l’exploit, Schütz affirme qu’après avoir déposé un rapport détaillant la vulnérabilité, Google s’est occupé de l’exploit en 37 minutes.
Bien que Schultz n’ait fourni aucune preuve, il a postulé que d’autres fournisseurs d’Android pourraient avoir été affectés. C’est certainement possible, car Android est un système d’exploitation open source.
Ce n’est pas non plus la première fois qu’un chercheur en sécurité dévoile de graves failles de sécurité dans les téléphones Android.
En avril 2022, Check Point Research (s’ouvre dans un nouvel onglet) (CPR) a mis au jour une faille qui, si elle n’était pas corrigée, aurait potentiellement rendu un grand nombre de téléphones Android vulnérables à l’exécution de code à distance, en raison de vulnérabilités présentes dans les décodeurs audio des puces Qualcomm et MediaTek.