Un chercheur en sécurité a découvert une grave vulnérabilité dans les propres smartphones de Google. Les pirates peuvent facilement déverrouiller l’appareil avec.
Habituellement, les méthodes de déverrouillage telles que le mot de passe, le code numérique ou l’authentification biométrique sont assez sécurisées. Mais maintenant, un chercheur en sécurité a découvert que les pirates peuvent facilement contourner le verrouillage de l’écran des smartphones Google Pixel.
Une carte SIM suffit pour déverrouiller le smartphone
Dans un article sur son propre blog, le hacker éthique David Schulz explique comment il a utilisé une carte SIM pour casser le verrou. Les pirates éthiques sont des personnes qui piratent des appareils pour trouver des vulnérabilités et les signaler aux entreprises.
Schulz a accidentellement rencontré une vulnérabilité dans le verrouillage de l’écran après que son Google Pixel 6 se soit éteint en raison d’une batterie faible. Lors du redémarrage, il a saisi trois fois le code PIN de la carte SIM de manière incorrecte, il a donc dû rechercher le code PUK et définir un nouveau code PIN. Après cela, les utilisateurs doivent généralement saisir le mot de passe ou le mot de passe défini pour le verrouillage de l’écran afin de déverrouiller le smartphone après le redémarrage. Au lieu de cela, le Pixel 6 de Schulz affichait directement l’icône d’empreinte digitale. Le smartphone a pu être déverrouillé, mais est resté bloqué avec le message « Pixel démarre ».
Il était donc clair que quelque chose n’allait pas. En tant que chercheur en sécurité, Schulz devait enquêter sur la question. Il a répété le processus plusieurs fois et le Pixel 6 restait bloqué sur « Pixel démarre ». Dans l’une des tentatives, cependant, Schulz a oublié de redémarrer le smartphone et l’a verrouillé à nouveau avec le bouton d’alimentation. Il a changé de carte SIM, saisi trois fois le mauvais code PIN et choisi un nouveau code PIN. Mais au lieu d’afficher l’icône de l’empreinte digitale, le smartphone est passé directement à l’écran d’accueil. Schulz a donc pu utiliser son Google Pixel 6 sans même voir le verrouillage de l’écran. Il a reproduit le même processus sur un Pixel 5 – avec le même résultat.
Google corrige la vulnérabilité de l’écran de verrouillage
En fait, Schulz a trouvé ce qui est probablement l’une des failles de sécurité les plus graves de l’histoire d’Android. Parce que les pirates peuvent l’utiliser pour contourner le verrouillage de l’écran sur les smartphones Google en insérant simplement leur propre carte SIM.
Schulz a immédiatement signalé la vulnérabilité à Google. Selon son article de blog, il était la deuxième personne à trouver le bogue. Mais apparemment, ses connaissances étaient cruciales pour que Google comble la faille de sécurité. La société a maintenant éliminé la vulnérabilité CVE-2022-20465 avec le correctif de sécurité actuel daté du 5 novembre 2022.
TECHBOOK conseille donc vivement d’installer le patch le plus tôt possible. Il est disponible pour le Pixel 4a et les versions ultérieures. Vous pouvez installer le correctif manuellement à réglages>système>mise à jour du système.
Il est actuellement encore difficile de savoir si les anciens smartphones Google Pixel sont également concernés par le verrouillage d’écran défectueux et devraient recevoir le correctif de sécurité. Selon l’assistance Google, le Pixel 4 (XL) n’a reçu aucune mise à jour de sécurité depuis ce mois-ci. Dès que TECHBOOK recevra une réponse de Google, nous mettrons à jour cet article en conséquence.