O Smartphones Pixel são geralmente considerados bastante seguros, mas é claro que os dispositivos do Google também não estão livres de falhas de segurança – você só precisa encontrá-los. Um pesquisador de segurança agora está relatando como descobriu acidentalmente uma lacuna bastante grande que poderia ser usada para desbloquear smartphones de Pixel de muitas gerações. Tudo o que você precisa é de um novo cartão SIM, um minuto e a tela de bloqueio é aberta.
Os smartphones são dispositivos muito valiosos e não apenas materialmente. Quase todos os usuários têm dados muito importantes ou acesso a serviços muito importantes armazenados em seus dispositivos que não devem cair em mãos erradas. A tela de bloqueio é realmente responsável por impedir que estranhos a usem ou acessem e geralmente funciona de maneira muito confiável. Mas em smartphones de Pixel de muitas gerações, isso provavelmente poderia ser evitado por anos – e ninguém notou.
Pesquisador de segurança David Schütz relatado sobre uma lacuna que ele descobriu meses atrás e só foi fechada pelo Google com a última atualização de novembro. Embora essa vulnerabilidade seja bastante explosiva, o Google não apenas demorou muitos meses, mas também queria que Schütz retivesse a taxa a que tinha direito por descobrir essa vulnerabilidade. Isso é detalhado na postagem do blog e é uma visão interessante desse processo. Por fim, apesar da possível duplicação, o Google creditou a ele o início da correção e ele recebeu uma recompensa de $ 70.000.
Mas do que se trata? Schütz notou que a tela de bloqueio de um smartphone Pixel pode ser ignorada simplesmente executando uma ação com o cartão SIM – especificamente alterando o PIN. Uma vez realizada esta ação, que é muito fácil de conseguir com um novo cartão SIM, o smartphone será desbloqueado e você terá acesso total como se o dispositivo tivesse sido desbloqueado normalmente.
A sequência
Tudo o que o invasor precisa fazer é trocar o cartão SIM pelo seu próprio, digitar o PIN errado 3 vezes e gerar um novo PIN do SIM com o número PUK. Um processo comum que requer troca de cartão porque o invasor precisa do código PUK. Como você pode ver no vídeo acima, isso é feito rapidamente e certamente pode ser feito em menos de um minuto para invasores experientes. Depois que o PIN é alterado, o smartphone é desbloqueado e o invasor tem acesso total.
Quase todos os smartphones Pixel são afetados
Não se sabe quais smartphones Pixel são afetados, mas há indícios: Pixel 4, Pixel 5 e Pixel 6 são afetados, o que foi confirmado por vários testes. O Google corrigiu a vulnerabilidade com a atualização de segurança de novembro, com essa vulnerabilidade específica de acordo com informações oficiais Android 10, Android 11, Android 12 e Android 13 objetivos. Portanto, todos os smartphones Pixel com um desses quatro sistemas operacionais devem ser afetados. E isso é realmente TUDO. Porque mesmo os smartphones de Pixel que não estão mais com Android-As atualizações são fornecidas com pelo menos Android 10 a caminho. Não é de se esperar que o Google atualize isso e corrija o bug.
Explicação detalhada na postagem do blog