Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Android World » Ricercatore ricava 70.000 $ da un bug per bypassare la Lockscreen di Android

Ricercatore ricava 70.000 $ da un bug per bypassare la Lockscreen di Android

Pubblicità

Google ha versato 70.000$ ad un ricercatore specializzato in sicurezza che ha privatamente comunicato all’azienda la scoperta di un bug che permetteva di bypassare la schermata di blocco dei Google Pixel senza bisogno di conoscere il codice di accesso.

Il bug, catalogato nell’elenco delle vulnerabilità come CVE-2022-20465, è descritto come in grado di causare l’escalation di privilegi locali permettendo a chiunque prenda in mano un dispositivo di accedere a quest’ultimo senza bisogno di conoscere il codice di sblocco.

David Schutz, ricercatore ungherese, ha riferito che il bug era semplice da sfruttare ma Google ha impiegato circa 5 mesi prima di chiuderlo.

Schutz ha in pratica scoperto che chiunque avesse accesso fisico al Google Pixel, poteva sbloccare il dispositivo mediante una semplice procedura di pochi minuti.

Il ricercatore riferisce di avere scoperto il problema per caso dopo che il suo Pixel 6 aveva esaurito la carica di batteria; all’accensione ha inserito un PIN errato per tre volte, recuperando la SIM bloccata utilizzando il codice PUK (Personal Unblocking Key). Dopo aver sbloccato la SIM e selezionato un nuovo PIN, il dispositivo non chiedeva la password nella schermata di blocco, m la scansione tramite impronte digitali. Il ricercatore ha cominciato a fare prove (qui i dettagli) e scoperto che era possibile riprodurre la falla senza riavvio e soprattutto aggirare anche la richiesta di scansione dell’impronta, ottenendo l’accesso al dispositivo senza necessità di autenticazione.

Il bug è legato all’errata chiusura di quello che Google chiama “keyguard” dopo lo sblocco della SIM tramite PUK, elemento che comportava la chiusura della schermata di blocco e della schermata di sicurezza successiva.

Il problema riguarda tutti i dispositivi con Android 10, 11, 12 e 13 non aggiornati con le patch rilasciate a novembre 2022. È probabile che il problema sia presente in moltissimi dispositivi con vecchie versioni di Android per le quali i produttori non rilasciano più aggiornamenti.

Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

iPad 10,2 minimo storico con codice a solo 287,99€

iPad nona generazione regalato costa solo 299€

Su Amazon torna il mega sconto del 32% per iPad di nona generazione. Lo pagate solo 299€, di pochissimo sopra il minimo storico
Pubblicità

Ultimi articoli

Pubblicità