O Google corrigiu na atualização do Android deste mês uma vulnerabilidade que havia sido reportada em junho de 2022 pelo pesquisador David Schütz. Ao realizar testes em seus smartphones Google Pixel 6 e Pixel 5, Schütz descobriu que era possível desbloquear um celular e contornar a tela de bloqueio.

A vulnerabilidade foi catalogada como CVE-2022-20465 e afeta os dispositivos que contam com as versões 10, 11 e 12 do Android sem as atualizações do sistema operacional que foram lançadas neste mês.

Como o pesquisador explicou em uma publicação, a descoberta da vulnerabilidade aconteceu por acaso. O Google Pixel de David Schütz ficou sem bateria e acabou sendo desligado. Depois do dispositivo ser carregado e ligado novamente, Schütz teve que digitar o código PIN de seu cartão SIM. Após três tentativas sem sucesso, o SIM foi boqueado e ele precisou entrar com a chave PUK (Personal Unblocking Key). Após procurar a embalagem original do cartão SIM na qual estava a chave PUK e digitar o código, o sistema solicitou um novo código PIN. Depois de definir um novo código PIN e para surpresa do pesquisador, o celular não pediu para inserir o código PIN de desbloqueio, que é o que deveria ocorrer após um reinício do smartphone por razões de segurança. O dispositivo apenas solicitou a impressão digital.

Após perceber que algo estava errado, o pesquisador decidiu repetir o processo várias vezes. No entanto, em uma destas tentativas, Schütz esqueceu de reiniciar o dispositivo. E com o celular ligado e a tela bloqueada ativa, ele abriu a bandeja do cartão SIM e substituiu o SIM por outro e voltou a realizar o mesmo processo: ele inseriu um PIN incorreto três vezes, depois inseriu a chave PUK, criou um novo PIN e de repente algo inesperado aconteceu: a tela foi desbloqueada e, consequentemente, Schütz passou a ter acesso ao dispositivo.

No vídeo a seguir, Schütz mostra como a falha ocorre:

 

Assim como Schütz explicou, o impacto dessa falha é muito grave. Embora seja necessário contar com o acesso físico ao dispositivo, o fato de um criminoso precisar apenas de um cartão SIM e de um código PUK para desbloquear um dispositivo pode expor as informações de usuários que contem com o sistema Android desatualizado em seus smartphones. Pense, por exemplo, naquelas pessoas que tem seus celulares roubados ou que são alvos de casos de espionagem.

Caso queira ter acesso a mais detalhes técnicos para entender o que causou esta falha, leia a descrição feita por David Schütz.

Até o lançamento da atualização de segurança de novembro, a falha ficou sem um patch (correção) por pelo menos seis meses e não há informações de que a falha tenha sido explorada por cibercriminosos. No entanto, para manter seus smartphones protegidos contra este tipo de ataque, os usuários do Android devem atualizar o sistema operacional assim que o download das atualizações estiver disponível em seus celulares.