Une vulnérabilité impactant "apparemment tous" les téléphones Google Pixel aurait pu permettre à des intrus d'accéder à un appareil Pixel verrouillé.
Selon un article de blog du chercheur en cybersécurité David Schütz, dont le rapport de bug a convaincu Google de prendre des mesures, le bug n'a été corrigé pour les téléphones Android en question qu'après une mise à jour de sécurité du 5 novembre 2022, soit environ six mois après le dépôt de son rapport de bug.
La vulnérabilité, qui est suivie sous le nom de CVE-2022-20465, permettait à un attaquant disposant d'un accès physique au mobile de contourner les protections de l'écran de verrouillage, telles que l'empreinte digitale et le code PIN, et d'obtenir un accès complet à l'appareil de l'utilisateur.
En quoi consistait cette faille ?
M. Schütz, qui affirme que le précédent rapport de bug d'un autre chercheur signalant le problème a été ignoré, a déclaré que l'exploit était simple et facilement reproductible.
Il s'agissait de verrouiller une carte SIM en saisissant trois fois le mauvais code PIN, de réinsérer le support SIM, de réinitialiser le PIN en saisissant le code PUK de la carte SIM (qui doit être fourni dans l'emballage d'origine), puis de choisir un nouveau PIN.
Comme l'attaquant pouvait simplement apporter sa propre carte SIM verrouillée par un code PIN, rien d'autre qu'un accès physique n'était nécessaire pour exécuter l'exploit, selon M. Schütz.
Les attaquants pouvaient simplement se contenter de procéder à l'échange de SIM dans l'appareil de la victime et réaliser l'exploit avec une SIM munie d'un verrou PIN et pour laquelle ils connaissaient le code PUK correct.
À la décharge de Google, Schütz affirme qu'après le dépôt du rapport détaillant la vulnérabilité, Google a réagi à l'exploit en 37 minutes.
Bien que Schütz n'ait fourni aucune preuve, il a avancé que d'autres distributeurs Android ont pu être affectés. C'est certainement possible, car Android est un système d'exploitation open source.
Ce n'est pas la première fois qu'un chercheur en sécurité dévoile de graves failles de sécurité sur les téléphones Android.
En avril 2022, Check Point Research (CPR) a découvert une faille qui, si elle n'était pas corrigée, aurait pu rendre un grand nombre de téléphones Android vulnérables à l'exécution de code à distance, en raison de failles présentes dans les décodeurs audio des puces Qualcomm et MediaTek.
