Google a versé 70 000 $ à un chercheur en sécurité pour avoir signalé en privé un bogue de sécurité « accidentel » qui permettait à quiconque de déverrouiller des téléphones Google Pixel sans connaître son code d’accès.
Le bogue de contournement de l’écran de verrouillage, suivi comme CVE-2022-20465, est décrit comme un bogue d’escalade locale des privilèges car il permet à quelqu’un, avec l’appareil en main, d’accéder aux données de l’appareil sans avoir à saisir le code d’accès de l’écran de verrouillage.
Chercheur basé en Hongrie David Schutz a déclaré que le bogue était remarquablement simple à exploiter mais qu’il a fallu environ cinq mois à Google pour le corriger.
Schütz a découvert que toute personne ayant un accès physique à un téléphone Google Pixel pouvait échanger sa propre carte SIM et entrer son code de récupération prédéfini pour contourner les protections d’écran de verrouillage du système d’exploitation Android. Dans un article de blog sur le bogue, publié maintenant que le bogue est corrigé, Schütz a décrit comment il a trouvé le bogue accidentellement et l’a signalé à l’équipe Android de Google.
Les écrans de verrouillage Android permettent aux utilisateurs de définir un mot de passe numérique, un mot de passe ou un modèle pour protéger les données de leur téléphone, ou de nos jours une empreinte digitale ou faciale. La carte SIM de votre téléphone peut également avoir un code PIN distinct défini pour empêcher un voleur d’éjecter et de voler physiquement votre numéro de téléphone. Mais les cartes SIM ont un code de déverrouillage personnel supplémentaire, ou PUK, pour réinitialiser la carte SIM si l’utilisateur saisit le code PIN de manière incorrecte plus de trois fois. Les codes PUK sont assez faciles à obtenir pour les propriétaires d’appareils, souvent imprimés sur l’emballage de la carte SIM ou directement auprès du service client de l’opérateur de téléphonie mobile.
Schütz a découvert que le bogue signifiait que la saisie du code PUK d’une carte SIM suffisait à tromper son téléphone Pixel 6 entièrement patché et son ancien Pixel 5 pour déverrouiller son téléphone et ses données, sans jamais afficher visuellement l’écran de verrouillage. Il a averti que d’autres appareils Android pourraient également être vulnérables.
Étant donné qu’un acteur malveillant pourrait apporter sa propre carte SIM et son code PUK correspondant, seul un accès physique au téléphone est requis, a-t-il déclaré. « L’attaquant pourrait simplement échanger la carte SIM dans l’appareil de la victime et exécuter l’exploit avec une carte SIM dotée d’un verrou PIN et pour laquelle l’attaquant connaissait le code PUK correct », a déclaré Schütz.
Google peut payer jusqu’à 100 000 $ aux chercheurs en sécurité pour signaler en privé des bogues qui pourraient permettre à quelqu’un de contourner l’écran de verrouillage, car un exploit réussi permettrait d’accéder aux données d’un appareil. Les récompenses de la prime de bogue sont élevées en partie pour concurrencer les efforts d’entreprises comme Cellebrite et Grayshift, qui s’appuient sur des exploits logiciels pour créer et vendre une technologie de piratage téléphonique aux forces de l’ordre. Dans ce cas, Google a payé à Schütz une prime de bogue de 70 000 $, car bien que son bogue ait été marqué comme un doublon, Google n’a pas été en mesure de reproduire – ou de corriger – le bogue signalé avant lui.
Google a corrigé le bogue Android dans une mise à jour de sécurité publiée le 5 novembre 2022 pour les appareils exécutant Android 10 à Android 13. Vous pouvez voir Schütz exploiter le bogue dans sa vidéo ci-dessous.