Sbloccare qualunque Google Pixel senza autorizzazione: chi scopre il bug incassa 70.000 dollari

Google si è affrettata a pubblicare un aggiornamento che risolve un problema di sicurezza scoperto da un ricercatore indipendente nei suoi smartphone Pixel.
La lacuna venuta a galla è davvero importante perché permette ad utenti non autorizzati di sbloccare qualunque Google Pixel senza conoscere alcun codice e ovviamente senza poter utilizzare l’impronta digitale del legittimo proprietario.

Ad accorgersi del problema è stato David Schütz che con un suo intervento racconta la scoperta che ha portato allo sblocco dei Google Pixel.
Il problema consente a un malintenzionato con accesso fisico al dispositivo mobile altrui di aggirare le protezioni della schermata di blocco (impronta digitale, PIN,…) e ottenere l’accesso completo allo smartphone Pixel. Alla vulnerabilità è stato assegnato l’identificativo CVE-2022-20465 e Schütz non esclude che possa interessare anche altri produttori di dispositivi Android: massima attenzione, quindi.

Il ricercatore è riuscito a sbloccare qualunque telefono Google Pixel utilizzando la seguente procedura, mostrata anche nel video pubblicato su YouTube:

1) Provare ad accedere allo smartphone Pixel bloccato usando la propria impronta digitale. Dal momento che l’impronta digitale non viene riconosciuta, l’accesso biometrico viene disabilitato e viene richiesto l’inserimento del codice di sblocco.

2) Rimuovere fisicamente la scheda SIM dallo smartphone e inserire una SIM sotto il pieno controllo dell’aggressore (che ne conosce PIN e PUK) nello slot del Google Pixel.

3) Il telefono Pixel chiede di inserire il PIN della nuova SIM appena inserita. Sbagliare volutamente a inserire il PIN per tre volte.

4) Inserire il codice PUK della SIM dell’aggressore: a questo punto il dispositivo si sbloccherà e sarà possibile interagire con qualunque applicazione e qualsiasi contenuto in esso conservato.

Google conferma di aver risolto il pericoloso bug di sicurezza in data 5 novembre 2022 con il rilascio di un aggiornamento correttivo destinato a tutti i possessori di uno smartphone Pixel. Schütz è stato inoltre premiato con la somma di 70.000 dollari per aver scoperto e segnalato privatamente, in modo responsabile, il problema di sicurezza.
A questo punto tutti gli utenti che possiedono un telefono Pixel vengono esortati a installare immediatamente l’aggiornamento dal momento che l’esistenza del bug è ormai di pubblico dominio.

Schütz racconta di aver scoperto il bug quasi per caso dopo 24 ore di viaggio e un Pixel 6 che aveva un’autonomia residua della batteria all’1%. Dopo la segnalazione del problema a Google, a distanza di soli 37 minuti l’azienda ha fornito risposta e inoltrato internamente il report sull’accaduto. I tempi si sono poi dilatati enormemente e Schütz, per provare a ridurre le tempistiche, ha partecipato a un evento a Londra riservato ai “cacciatori di bug” (ESCAL8) riuscendo anche fare una dimostrazione dell’accaduto dinanzi ai responsabili Google. La correzione è finalmente arrivata all’inizio di novembre.