Le propriétaire d'un téléphone Android trouve accidentellement un moyen de contourner l'écran de verrouillage
Et reçoit 70 000 dollars de Google pour avoir signalé le problème
Le 2022-11-14 12:38:37, par Bruno, Chroniqueur Actualités
La mise à jour de sécurité publiée par Google en novembre a permis de corriger une vulnérabilité assez sérieuse qui pouvait permettre à une personne de contourner l'écran de verrouillage de nombreux téléphones Android en moins d'une minute sans aucun logiciel ou outil spécial. En effet, le chercheur en cybersécurité David Schütz a accidentellement trouvé un moyen de contourner l'écran de verrouillage de ses smartphones Google Pixel 6 et Pixel 5 permettant à toute personne ayant un accès physique à l'appareil de le déverrouiller.
Le processus, étonnamment simple, ne nécessite qu'un accès physique à un téléphone et une carte SIM supplémentaire verrouillée par un code PIN. Il suffit d'échanger la carte SIM supplémentaire, de saisir trois fois un code incorrect pour la carte SIM et, enfin, de saisir le code PUK (Personal Unblocking Key) qui se trouve généralement sur la carte support de la carte SIM. Et avec ces simples étapes, l'écran de verrouillage disparaît.
Schütz dit avoir découvert la faille par accident après que son Pixel 6 se soit vidé de sa batterie, qu'il ait saisi son code PIN de manière erronée à trois reprises et qu'il ait récupéré la carte SIM verrouillée à l'aide du code PUK.
À sa grande surprise, après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, l'appareil n'a pas demandé le mot de passe de l'écran de verrouillage, mais a seulement demandé un scan des empreintes digitales. « J'ai découvert ce bug après 24 heures de voyage. En arrivant chez moi, mon Pixel 6 était à 1 % de batterie. J'étais au milieu de l'envoi d'une série de messages texte quand il est tombé en panne. Je me suis précipité vers le chargeur et j'ai redémarré le téléphone.
« Le Pixel a démarré et m'a demandé le code PIN de la carte SIM. D'habitude, je le connaissais, mais cette fois, je n'arrivais pas à m'en souvenir correctement. J'espérais pouvoir le trouver, alors j'ai essayé quelques combinaisons, mais j'ai fini par entrer 3 codes PIN incorrects, et la carte SIM s'est verrouillée. Elle avait maintenant besoin du code PUK pour se déverrouiller et fonctionner à nouveau. »
Les appareils Android demandent toujours un mot de passe ou un motif pour l'écran de verrouillage au redémarrage pour des raisons de sécurité, il n'était donc pas normal de passer directement au déverrouillage par empreinte digitale.
David Schütz a poursuivi ses expériences et, lorsqu'il a essayé de reproduire la faille sans redémarrer l'appareil et en partant d'un état déverrouillé, il a compris qu'il était possible de contourner également la demande d'empreinte digitale, en passant directement à l'écran d'accueil. L'impact de cette faille de sécurité est assez grand, affectant tous les appareils fonctionnant sous Android versions 10, 11, 12 et 13 qui n'ont pas été mis à jour avec le correctif de novembre 2022.
Lorsque Schütz a saisi le numéro PUK correct, la fonction "dismiss" a été appelée deux fois, une fois par une fonction en arrière-plan qui surveille l'état de la carte SIM, et une fois par le composant PUK. La correction de Google pour ce bogue est assez simple. Cette vulnérabilité est officiellement enregistrée sous le nom de CVE-2022-20465. Google a publié les correctifs dans la branche Android 13 sur AOSP, mais ils ont également été portés dans les branches Android 10, 11 et 12.
Envoyé par David Schütz
Pour avoir signalé le problème, Google a versé 70 000 dollars à David dans le cadre de son programme de primes aux bugs. Malheureusement, le processus ne s'est pas déroulé aussi facilement qu'il l'aurait dû. Selon le récit des événements par David, il a tenté de signaler le problème il y a environ cinq mois, et Google a alors déclaré qu'il s'agissait d'un faux et qu'il n'était pas éligible à une récompense. Des mois plus tard, après avoir montré le problème à certains employés de Google et avoir fixé une date limite pour une divulgation publique, le problème a finalement été corrigé et résolu.
Cette situation démontre la nécessité d'effectuer des mises à jour de sécurité régulières et à long terme pour les téléphones qui sont probablement encore en service. Naturellement, toute personne possédant un téléphone potentiellement vulnérable devrait installer les dernières mises à jour de sécurité dès qu'elles sont disponibles. En attendant, ce n'est pas une stratégie viable pour une utilisation régulière, mais redémarrer un téléphone sans le déverrouiller devrait empêcher les gens d'accéder à vos données privées.
Source : Cybersecurity researcher David Schütz
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
La virtualisation Android 13 permet au Pixel 6 d'exécuter Windows 11 et des distributions Linux, telles que Ubuntu ou Arch Linux Arm
Android 13 est disponible pour les téléphones Pixel. L'OS permet de sélectionner uniquement les médias spécifiques auxquels les applications vont accéder et bien d'autres
Le processus, étonnamment simple, ne nécessite qu'un accès physique à un téléphone et une carte SIM supplémentaire verrouillée par un code PIN. Il suffit d'échanger la carte SIM supplémentaire, de saisir trois fois un code incorrect pour la carte SIM et, enfin, de saisir le code PUK (Personal Unblocking Key) qui se trouve généralement sur la carte support de la carte SIM. Et avec ces simples étapes, l'écran de verrouillage disparaît.
Schütz dit avoir découvert la faille par accident après que son Pixel 6 se soit vidé de sa batterie, qu'il ait saisi son code PIN de manière erronée à trois reprises et qu'il ait récupéré la carte SIM verrouillée à l'aide du code PUK.
À sa grande surprise, après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, l'appareil n'a pas demandé le mot de passe de l'écran de verrouillage, mais a seulement demandé un scan des empreintes digitales. « J'ai découvert ce bug après 24 heures de voyage. En arrivant chez moi, mon Pixel 6 était à 1 % de batterie. J'étais au milieu de l'envoi d'une série de messages texte quand il est tombé en panne. Je me suis précipité vers le chargeur et j'ai redémarré le téléphone.
« Le Pixel a démarré et m'a demandé le code PIN de la carte SIM. D'habitude, je le connaissais, mais cette fois, je n'arrivais pas à m'en souvenir correctement. J'espérais pouvoir le trouver, alors j'ai essayé quelques combinaisons, mais j'ai fini par entrer 3 codes PIN incorrects, et la carte SIM s'est verrouillée. Elle avait maintenant besoin du code PUK pour se déverrouiller et fonctionner à nouveau. »
Les appareils Android demandent toujours un mot de passe ou un motif pour l'écran de verrouillage au redémarrage pour des raisons de sécurité, il n'était donc pas normal de passer directement au déverrouillage par empreinte digitale.
David Schütz a poursuivi ses expériences et, lorsqu'il a essayé de reproduire la faille sans redémarrer l'appareil et en partant d'un état déverrouillé, il a compris qu'il était possible de contourner également la demande d'empreinte digitale, en passant directement à l'écran d'accueil. L'impact de cette faille de sécurité est assez grand, affectant tous les appareils fonctionnant sous Android versions 10, 11, 12 et 13 qui n'ont pas été mis à jour avec le correctif de novembre 2022.
Lorsque Schütz a saisi le numéro PUK correct, la fonction "dismiss" a été appelée deux fois, une fois par une fonction en arrière-plan qui surveille l'état de la carte SIM, et une fois par le composant PUK. La correction de Google pour ce bogue est assez simple. Cette vulnérabilité est officiellement enregistrée sous le nom de CVE-2022-20465. Google a publié les correctifs dans la branche Android 13 sur AOSP, mais ils ont également été portés dans les branches Android 10, 11 et 12.
Cette situation démontre la nécessité d'effectuer des mises à jour de sécurité régulières et à long terme pour les téléphones qui sont probablement encore en service. Naturellement, toute personne possédant un téléphone potentiellement vulnérable devrait installer les dernières mises à jour de sécurité dès qu'elles sont disponibles. En attendant, ce n'est pas une stratégie viable pour une utilisation régulière, mais redémarrer un téléphone sans le déverrouiller devrait empêcher les gens d'accéder à vos données privées.
Source : Cybersecurity researcher David Schütz
Et vous ?
Voir aussi :
ManPaq
Membre averti
Une manipulation digne des consoles d'autrefois où les tips étaient viraux.
le 16/12/2022 à 2:34