David Schütz, un ingeniero e investigador de seguridad, acaba de hacer público uno de los fallos de seguridad más potentes que se recuerdan en Android. Básicamente se trata de un truco que permitía saltarse la pantalla de bloqueo de los Google Pixel sin necesidad de usar un patrón o PIN de desbloqueo.
Así los explica Schütz en un artículo publicado en su web, donde revela cómo detectó el bug de manera accidental, y cómo Google ha acabado recompensándole con un premio de 70.000 dólares.
Todo empezó cuando el ingeniero volvía de un largo viaje de 24 horas, y al llegar a casa se dio cuenta de que su Pixel 6 solo tenía un 1% de batería restante. ¡Tenía varios mensajes a medio enviar! Así que corrió a conectar el cargador, y cuando el teléfono se reinició le pidió el código PIN.
Schütz estaba tan nervioso que metió mal el PIN hasta 3 veces, por lo que la SIM del teléfono se bloqueó. Buscó el código PUK para desbloquearlo, y después de establecen un nuevo PIN, se dio cuenta de que algo no iba bien. Estaba otra vez en la pantalla de bloqueo de Android, pero en lugar de pedirle el PIN o una contraseña, el móvil solo le pedía una huella dactilar.
Después de repetir el proceso y realizar varias pruebas, el investigador se percató de que podía bloquear el móvil, hacer un cambio de SIM “en caliente”, meter el PUK y establecer un nuevo PIN. Entonces el smartphone entraba en un glitch, y por arte de magia se desbloqueaba por completo y cargaba la pantalla de inicio.
Podéis ver un ejemplo de todo el proceso en este video.
Google corrige el error y le ofrece una recompensa de 70.000 dólares
Sin duda estamos ante un bug o fallo de seguridad bastante importante, ya que no afecta solo a los móviles Pixel, sino que también se podría reproducir en terminales de otros fabricantes.
Ante la gravedad del problema, el investigador reportó el error a Google hace unos 3 meses, y aunque parece que han tardado bastante tiempo en responderle (el fallo no era tan fácil de solucionar), el bug ya ha sido corregido en una actualización de seguridad publicada el pasado 5 de noviembre.
Normalmente Google suele ofrecer recompensas para aquellos que reporten estos fallos de seguridad. La vulnerabilidad CVE-2022-20465 (así es como ha sido catalogada) le ha supuesto un “pellizco” de 70.000 dólares a David Schütz, aunque la cifra podía haber sido de hasta 100.000 dólares. Al parece Google ya estaba al tanto del problema.
“Dijeron que aunque mi informe era un duplicado, fue solo por mi informe que comenzaron a trabajar en la solución. Debido a esto, decidieron hacer una excepción y recompensar me con 70.000$ por el fallo de la pantalla de bloqueo” explica Schütz.
