Qu’est-ce qui vient juste de se passer? Si vous cherchez un moyen de gagner beaucoup d’argent très rapidement, vous pouvez essayer de trouver une faille de sécurité et réclamer la prime de bogue. Un chercheur a reçu un paiement de 70 000 $ de Google après avoir découvert un moyen de déverrouiller les téléphones Android sans mot de passe, et il l’a fait par accident.

Le chercheur hongrois David Schütz a signalé le bogue de haute gravité, suivi comme CVE-2022-20465qui est décrit comme un contournement de l’écran de verrouillage en raison d’une erreur de logique dans le code pouvant entraîner une élévation locale des privilèges sans nécessiter de privilèges d’exécution supplémentaires.

Bien que l’exploit nécessite qu’un appareil Android soit en possession de l’attaquant, c’est un moyen efficace de contourner un verrouillage d’écran sécurisé par un code PIN, une forme, un mot de passe, une empreinte digitale ou un visage. Schütz découvert la faille après avoir voyagé pendant 24 heures et que son Pixel 6 est mort alors qu’il envoyait une série de SMS.

Après avoir connecté le chargeur et redémarré l’appareil, le Pixel a demandé le code PIN de la carte SIM, qui est distinct du code de l’écran de verrouillage ; il est conçu pour empêcher quelqu’un de voler physiquement votre carte SIM et de l’utiliser. Schütz n’a pas pu se souvenir de son code, ce qui a provoqué le verrouillage de la carte SIM après avoir saisi trois numéros incorrects.

La seule façon de réinitialiser la carte SIM verrouillée est d’utiliser le code de déverrouillage personnel, ou PUK. Ceux-ci sont souvent imprimés sur l’emballage de la carte SIM ou peuvent être obtenus en appelant le service client d’un opérateur. Schütz a utilisé le premier, lui permettant de réinitialiser le code PIN. Mais au lieu de voir une demande de mot de passe d’écran de verrouillage, le Pixel n’a demandé qu’un scan d’empreintes digitales ; Les appareils Android demandent des mots de passe/PINS après un redémarrage pour des raisons de sécurité.

Publicité

YouTube video

Schütz a expérimenté cette anomalie. Finalement, il a découvert que la reproduction de ces actions sans redémarrer l’appareil permettait un contournement complet de l’écran de verrouillage – même une empreinte digitale n’était pas nécessaire. Vous pouvez voir le processus en action ci-dessus.

Schütz dit que le processus a fonctionné sur ses Pixel 6 et Pixel 5. Google l’a corrigé dans la dernière mise à jour Android du 5 novembre, mais les criminels auraient pu l’exploiter pendant au moins six mois. Tous les appareils exécutant Android 10 à Android 13 qui n’ont pas été mis à jour avec le correctif de novembre 2022 sont toujours vulnérables.

Google peut payer jusqu’à 100 000 $ à ceux qui signalent des bogues de contournement de l’écran de verrouillage. Schütz a reçu la moindre somme de 70 000 $ parce que quelqu’un avait déjà signalé celui qu’il avait découvert, mais Google n’a pas pu le reproduire.

Rate this post
Publicité
Article précédentThe Dark Watchers, les fantômes glaçants du centre de la Californie
Article suivantTest du MSI GeForce RTX 4080 Gaming X Trio
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici