Google corrigió en la actualización de noviembre de 2022 una vulnerabilidad reportada en junio de 2022 por el investigador David Schütz, quien realizando unas pruebas en sus dispositivos móviles, un Pixel 6 y un Pixel 5 de Google, descubrió que era posible desbloquear un teléfono y esquivar los mecanismos de bloqueo de pantalla, como son la huella digital o la clave PIN.

La vulnerabilidad fue registrada como CVE-2022-20465 y afecta a los dispositivos que tengan instalada la versión 10, 11 y 12 de Android que no tengan instalados los parches de la actualización de noviembre.

Según explicó el investigador en una publicación, el hallazgo de esta vulnerabilidad se dio de forma casual. Su Google Pixel se quedó sin batería y se apagó. Luego de cargarlo e encenderlo, tuvo que ingresar la clave PIN de su tarjeta SIM. Luego de tres intentos fallidos, la SIM se bloqueó y necesitaba ingresar la clave PUK. Luego de buscar el envoltorio original de la tarjeta SIM donde tenía la clave PUK e ingresar el código, el sistema solicitó ingresar una nueva clave PIN. Luego de configurar una nueva clave PIN y para sorpresa del investigador, el teléfono no solicitó ingresar la clave PIN de desbloqueo, que es lo que debería suceder luego de reiniciar por razones de seguridad. Solo solicitó escanear la huella digital.

Entonces, y luego de darse cuenta de que algo no estaba bien, decidió repetir el proceso varias veces. En uno de esos intentos olvidó reiniciar el dispositivo y con el equipo encendido y la pantalla bloqueada, abrió la bandeja para colocar la tarjeta SIM y reemplazó la tarjeta SIM por otra y realizó el mismo proceso: ingreso tres veces una clave PIN incorrecta, luego ingresó la clave PUK, creó una nueva clave PIN y de repente pasó algo inesperado: ¡ estaba con la pantalla desbloqueada y con acceso al dispositivo!

En el siguiente video Schütz muestra el fallo en acción:

 

Tal como explica el investigador, el impacto de este fallo es muy serio. Si bien es necesario acceso físico al dispositivo, el hecho de que un atacante solo necesite una tarjeta SIM y el código PUK para desbloquear un dispositivo expone a las personas a que terceros malintencionados tengan acceso a la información que contiene el smartphone. Pensemos por ejemplo quienes son víctimas del robo de sus teléfonos o quienes son blanco de espionaje.

Si bien al parecer otro investigador ya había reportado a Google el mismo fallo antes que Schütz, Google igualmente dio a este último una recompensa excepcional de 70.000 dólares por reportarlo, ya que si bien era un reporte duplicado, no fue hasta que se reportó la vulnerabilidad por segunda vez que Google comenzó a trabajar en corregir la vulnerabilidad.

Quienes quieren conocer los detalles técnicos para entender qué fue lo que causaba este fallo pueden leer la descripción que hizo David Schütz en su publicación.

Hasta el lanzamiento de la actualización de noviembre el fallo estuvo sin ser parcheado durante al menos seis meses y no hay información acerca de si fue aprovechado por actores malintencionados. No obstante, para mantener sus teléfonos protegidos de este tipo de ataque se recomienda a los usuarios de Android mantener actualizado sus dispositivos apenas tengan disponible la actualización.