Sur Android, cette faille permet de déverrouiller très facilement certains smartphones

Un chercheur a découvert une importante faille de sécurité, permettant le déverrouillage de smartphones Android.

Un chercheur a fait une découverte pour le moins problématique sur les smartphones. En juin dernier, le chercheur en sécurité David Schütz annonce avoir découvert par hasard un moyen de déverrouiller tous les smartphones Pixel de la marque Google. Le temps de cinq étapes faciles à réaliser, la manipulation permettait d’accéder physiquement à l’appareil en quelques minutes.

Après que son Pixel 6 se soit retrouvé à court de batterie, David Schütz branche son smartphone et se trompe trois fois de code PIN. Pour déverrouiller son appareil, il se tourne alors vers son code PUK. Mais après avoir récupéré le précieux sésame capable de débloquer son téléphone, le Pixel 6 a simplement redémarré en demandant de saisir un nouveau code PIN. Une fois allumé, l’expert en cybersécurité a finalement été invité à saisir une nouvelle empreinte sans avoir à passer par la case déverrouillage manuel du téléphone, suite à quoi ce dernier s’est remis à fonctionner normalement après avoir réinséré une carte SIM.

David Schütz décide alors de recommencer la manœuvre pour confirmer ses soupçons : en entrant trois fois un mauvais code PIN, puis en insérant une nouvelle carte SIM dont il connaissait le code PUK, le chercheur réalise alors qu’il lui est possible de déverrouiller totalement son Pixel 6 et son ancien Pixel 5, sans aucun écran de verrouillage de l’appareil. Il suffirait donc qu’une personne mal intentionnée dérobe un smartphone, le bloque puis insère sa propre carte SIM pour accéder à l’ensemble des données présentes sur le téléphone.

Google fait la sourde oreille

Après sa découverte, David Schütz remplit alors un formulaire pour signaler à Google la faille qu’il vient de découvrir. Validée assez rapidement, cette dernière était censée lui donner droit à une prime de 100 000 dollars, conformément au système de récompense de Bug Bounty prévu par l’entreprise. Après avoir fait la sourde oreille pendant plus d’un mois, le chercheur a finalement reçu un simple mail pour le prévenir que son rapport était en fait le doublon d’un autre, paru un peu plus tôt.

Il faudra finalement attendre quelques mois pour que le patch correctif soit publié. Selon le chercheur, Google n’aurait commencé à corriger la faille qu’après son intervention. Après avoir insisté auprès de l’entreprise, il a finalement obtenu (presque) gain de cause, en recevant un dédommagement de 70 000 dollars.

David Schütz

You may like