La principale raison de mettre à jour immédiatement le correctif de sécurité de novembre – en plus d’être le premier pour le Pixel 7 – est qu’il contient un correctif de bogue pour un problème de sécurité qui peut déverrouiller et contourner l’écran de verrouillage de votre téléphone Pixel.
David Schutz découvert le problème (CVE-2022-20465) et indique qu’un « attaquant ayant un accès physique [can] contourner les protections de l’écran de verrouillage (empreintes digitales, code PIN, etc.) et obtenir un accès complet à l’appareil de l’utilisateur. »
Dans la vidéo de démonstration ci-dessous, nous voyons un appareil verrouillé avec la biométrie désactivée après plusieurs tentatives incorrectes. Échangez la carte SIM, puis vous devrez « Entrer le code PIN de la carte SIM ». Après trois tentatives de code PIN erronées, les utilisateurs sont invités à saisir le PUK codedont vous serez conscient puisqu’il s’agit de votre carte SIM.
Après une entrée réussie, vous entrez un nouveau code PIN pour cette carte SIM et le téléphone se déverrouillera sur votre écran d’accueil avec un accès complet.
Étant donné que l’attaquant pouvait simplement apporter sa propre carte SIM verrouillée par un code PIN, rien d’autre qu’un accès physique n’était requis pour l’exploitation. L’attaquant pouvait simplement échanger la carte SIM dans l’appareil de la victime et exécuter l’exploit avec une carte SIM dotée d’un verrou PIN et pour laquelle l’attaquant connaissait le code PUK correct.
Schütz a signalé ce bogue de déverrouillage au programme de récompenses de vulnérabilité d’Android au milieu de cette année, mais Google n’a pas résolu le problème de l’écran de verrouillage Pixel avant septembre (après quelques incitations en personne). Cela a abouti à une récompense de 70 000 $ et est répertorié dans le correctif de sécurité de novembre sous un problème « Système » avec une gravité « élevée ». L’entreprise répertorie en outre Android 10, 11, 12, 12L et 13 en tant que « versions AOSP mises à jour ».
Le correctif de sécurité de novembre est actuellement disponible pour le Pixel 4a et les versions ultérieures. La solution technique de Google est listé ici.
En savoir plus sur Pixel :
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.
Découvrez 9to5Google sur YouTube pour plus d’informations :