David Schütz, ingénieur en sécurité et chercheur, vient de rendre publique l’une des failles de sécurité les plus puissantes de la mémoire Android. En gros c’est une astuce qui permettait de contourner l’écran de verrouillage de Google Pixel pas besoin d’utiliser un schéma de déverrouillage ou un code PIN.
C’est ainsi que Schütz les explique dans un article publié sur votre siteoù il révèle comment il a accidentellement découvert le bogue et comment Google a fini par le récompenser avec un prix de 70 000 $.
Tout a commencé lorsque l’ingénieur revenait d’un long voyage de 24 heures, pour découvrir sur son Pixel 6 qu’il ne lui restait plus que 1 % de batterie. J’ai eu plusieurs messages à mi-chemin ! Il a donc couru pour brancher le chargeur, et lorsque le téléphone a redémarré, il a demandé le code PIN.
Schütz était si nerveux qu’il a mal saisi le code PIN jusqu’à 3 fois, de sorte que la carte SIM du téléphone a été bloquée. Il a recherché le code PUK pour le déverrouiller, et après avoir défini un nouveau code PIN, il s’est rendu compte que quelque chose n’allait pas. Il était de retour sur l’écran de verrouillage Android, mais au lieu de demander un code PIN ou un mot de passe, le téléphone a juste demandé une empreinte digitale.
Après avoir répété le processus et effectué plusieurs tests, le chercheur s’est rendu compte qu’il pouvait verrouiller le mobile, faire un changement de SIM « à chaud », saisir le PUK et établir un nouveau code PIN. Puis le smartphone est entré en panneet il s’est complètement déverrouillé comme par magie et a chargé l’écran d’accueil.
Vous pouvez voir un exemple de l’ensemble du processus dans cette vidéo.
Google corrige le bug et vous offre une récompense de 70 000 $
Sans aucun doute, nous sommes confrontés à un bogue ou une faille de sécurité assez important, car il ne concerne pas seulement les mobiles Pixel, mais pourrait également être reproduit dans les terminaux d’autres fabricants.
Compte tenu de la gravité du problème, le chercheur a signalé le bogue à Google il y a environ 3 mois, et bien qu’il semble qu’ils aient mis beaucoup de temps à répondre (le bogue n’était pas si facile à résoudre), le bogue a déjà été corrigé dans une mise à jour de sécurité publié le 5 novembre dernier.
Normalement, Google offre généralement des récompenses à ceux qui signalent ces failles de sécurité. vulnérabilité CVE-2022-20465 (c’est ainsi qu’il a été catalogué) a signifié une « pincée » de 70 000 $ à David Schütz, bien que le chiffre aurait pu monter jusqu’à 100 000 $. Apparemment, Google était déjà au courant du problème.
« Ils ont dit que même si mon rapport était un doublon, c’est uniquement à cause de mon rapport qu’ils ont commencé à travailler sur la solution. Pour cette raison, ils ont décidé de faire une exception et de me récompenser de 70 000 $ pour le bogue de l’écran de verrouillage », explique Schütz.