Trouver une faille de sécurité peut rapporter gros ! En effet, un hacker a été généreusement récompensé par Google pour avoir réussi à outrepasser le verrouillage d'un smartphone de la gamme Pixel.
Un souci qui a bien évidemment été corrigé grâce à cette trouvaille pour le moins étonnante.
Une vulnérabilité problématique
On peut parfois penser que nos smartphones sont protégés une fois le verrouillage de l'écran activé (par code PIN, empreinte digitale ou même reconnaissance faciale). Pourtant, si nous en croyons cette découverte faite par le chercheur en sécurité David Schütz, ce n'était pas vraiment le cas sur les mobiles de Google. Le principal intéressé s'est aperçu qu'il était finalement très facile de contourner les sécurités d'un Pixel 6 verrouillé.
Cependant, tout est rentré dans l'ordre puisque Google a déployé sa mise à jour de novembre dans le but de faire disparaître cette vulnérabilité nommée « CVE-2022-20465 ». Le signalement de Schütz s'est donc montré extrêmement utile. Si bien que la firme américaine lui a fait un joli chèque de 70 000 dollars pour le remercier.
Une faille simple à exploiter
Pour pouvoir déverrouiller un smartphone Pixel sans en être le propriétaire, il y avait quelques étapes relativement basiques à suivre. Déjà, il était nécessaire de fournir une empreinte digitale incorrecte jusqu'à ce que le mobile vienne réclamer le code PIN. Sans éteindre l'appareil, la personne devait alors insérer sa propre carte SIM avec un code préconfiguré.
Par la suite, il fallait taper le mauvais code à trois reprises pour afficher la demande du code PUK. Entrer ce dernier et configurer un nouveau code PIN suffisait pour conclure l'opération en déverrouillant le téléphone. Bref, une carte SIM était le seul équipement nécessaire pour pouvoir utiliser le Google Pixel comme si de rien n'était. Pas besoin d'être un hacker professionnel pour y parvenir.
Source : The Hacker News