A tela de bloqueio em todos os Google Pixels acabou sendo fácil de contornar, mas o bug já foi corrigido

«White” David Schütz descobriu uma vulnerabilidade nos smartphones da série Google Pixel que permitia que eles fossem desbloqueados sem digitalizar uma impressão digital ou inserir um código PIN. O Google pagou a ele uma recompensa e corrigiu um bug na atualização mais recente do software do dispositivo.

A vulnerabilidade foi descoberta por acidente. Um dia, o Sr. Schutz carregou o telefone e o ligou, e pediu um PIN do SIM para desbloqueá-lo. Depois de digitar os números errados três vezes, o dispositivo solicitou um código PUK. Ao digitá-lo corretamente, o proprietário do telefone alterou o PIN e o telefone foi ligado. Mas algo estava errado: em vez do tradicional ícone de cadeado, um ícone de impressão digital foi exibido – Schutz desbloqueou o dispositivo, mas ficou preso em uma estranha mensagem “Pixel está iniciando”, que foi exibida até a reinicialização.

Um usuário curioso decidiu estudar essa questão em profundidade. Ele reproduziu a situação várias vezes e percebeu que havia encontrado uma maneira de contornar facilmente o bloqueio do telefone – bastava o acesso físico ao aparelho, seu próprio cartão SIM e uma chave de clipe de sua bandeja. De acordo com o autor do estudo improvisado, ele conseguiu confirmar a presença de uma vulnerabilidade no Pixel 6 e depois no Pixel 5. Ele entrou em contato com o Google e relatou sua descoberta, mas não conseguiu mais reivindicar os US$ 100.000 devidos por isso. – alguém fez a descoberta mais cedo e contou ao desenvolvedor sobre isso. Mas os US$ 70.000 ainda foram pagos a Schutz, porque eles começaram a corrigir o erro somente após sua apelação.

A vulnerabilidade recebeu o número de série CVE-2022-20465 e diz-se que afeta todos os telefones Pixel. No entanto, não será fácil usá-lo agora, pois o erro foi corrigido na próxima atualização de segurança, lançada em 5 de novembro de 2022.