Support technique
Documentation
Connexion
Nous contacter
Des pirates exploitent une faille de sécurité dans l'écran de verrouillage du Google Pixel.
Le 22 novembre 2022 - L'équipe de relations publiques de TuxCare
Un chercheur en sécurité, David Schütz, a reçu un bug bounty de 70 000 dollars après avoir découvert par hasard un hack de contournement de l'écran de verrouillage des Google Pixel qui a résolu un grave problème de sécurité sur tous les smartphones Pixel qui pouvait facilement être exploité pour déverrouiller les appareils.
Schütz a découvert la vulnérabilité, qui permettait à un attaquant de déverrouiller tout téléphone Google Pixel sans connaître le code d'accès. Google a corrigé le problème, connu sous le nom de CVE-2022-20465, avec une mise à jour en novembre, permettant à Schütz de publier ses découvertes.
Schütz a découvert le problème par hasard lorsqu'il a oublié le code PIN de son téléphone Pixel et a dû entrer le code PUK pour y accéder. Il a remarqué des anomalies dans l'écran de verrouillage qui lui ont été présentées après la réussite du processus. Après avoir accepté son doigt, l'appareil a planté avec un message bizarre "Pixel is starting...", que Schütz a résolu avec un redémarrage forcé.
Selon M. Schütz, le problème réside dans le fait que la protection de l'écran de verrouillage est complètement désactivée si vous suivez une certaine séquence d'étapes.
Tout d'abord, saisissez une fausse empreinte digitale à trois reprises pour désactiver l'authentification biométrique sur l'appareil verrouillé. Ensuite, remplacez la carte SIM de l'appareil par une SIM contrôlée par l'attaquant et pour laquelle un code PIN a été configuré. Ensuite, saisissez un faux code PIN SIM trois fois pour verrouiller la carte SIM. Ensuite, l'appareil demande à l'utilisateur de saisir le code PUK (Personal Unlocking Key), un numéro unique à huit chiffres pour déverrouiller la carte SIM. Ensuite, saisissez un nouveau code PIN pour la carte SIM contrôlée par l'attaquant et l'appareil sera automatiquement déverrouillé.
Schütz s'est vu présenter son écran d'accueil déverrouillé après avoir suivi cette séquence, avant de saisir le code PUK et de sélectionner un nouveau code PIN, il a réalisé qu'il avait complètement contourné l'écran de verrouillage sur les Pixel 6 et Pixel 5 entièrement patchés.
Les sources de cet article comprennent un article de TheHackerNews.
