Proprietário de celulares Google Pixel consegue violar tela de bloqueio

A tela de bloqueio de celulares vem ganhando cada vez mais atenção nos últimos anos, especialmente por conta do aumento dos ataques cibernéticos e roubos/furtos de smartphones — principalmente no Brasil, onde vemos muitos bandidos interessados em praticar crimes financeiros. E eis que um pesquisador conseguiu violar justamente essa barreira de defesa em aparelhos Google Pixel 5 e Pixel 6.

• Estes 4 apps maliciosos para Android acumulam mais de 1 mi de instalações
• Atualize já: Google lança correção para falha crítica de segurança no Chrome

A descoberta foi por acidente, quando David Schütz viu seu Pixel 6 ficar sem bateria. Ele digitou seu PIN errado três vezes, e recuperou o cartão SIM bloqueado usando o código PUK (Personal Unblocking Key). Para sua surpresa, depois de desbloquear o SIM e selecionar um novo PIN, o dispositivo não pediu a senha da tela de bloqueio, mas apenas uma verificação de impressão digital.

É importante destacar que dispositivos Android sempre solicitam uma senha ou padrão de tela de bloqueio na reinicialização, por motivos de segurança. Então, o que aconteceu não é normal. O pesquisador continuou observando até onde essa brecha poderia ir. Quando tentou reproduzir a falha sem reiniciar o dispositivo, partir de um estado desbloqueado, descobriu que também era possível ignorar a entrada por impressão digital, indo direto para a tela inicial.

Com isso, um invasor pode simplesmente usar seu próprio cartão SIM no dispositivo de destino, desativar a autenticação biométrica (se bloqueada), digitar o PIN errado três vezes, fornecer o número PUK e acessar o dispositivo da vítima sem restrições. O impacto dessa vulnerabilidade afetava todos os celulares que executam as versões 10, 11, 12 e 13 do Android que não foram atualizados com um patch lançado em novembro de 2022.

Atualização corrige falha na tela de bloqueio dos celulares Google Pixel

A Gigantre das Buscas corrigiu o problema de segurança na última atualização do Android, lançada na semana passada, mas essa brecha ficou exposta nos celulares Google Pixel por pelo menos seis meses.

Schütz relatou a falha ao Google em junho de 2022 e, embora a empresa tenha reconhecido a brecha, não lançou uma correção até 7 de novembro de 2022. A solução funcionou, portanto, se você é um usuário de Android 10, 11, 12 ou 13, execute a atualização distribuída no começo do mês imediatamente.

Embora o Google tenha considerado a descoberta de Schütz como uma duplicata, a empresa abriu uma exceção e concedeu ao pesquisador US$ 70 mil (R$ 371,2 mil), por meio de seu programa de buscas por vulnerabilidades.