Le propriétaire d'un téléphone Android trouve accidentellement un moyen de contourner l'écran de verrouillage
et reçoit 70 000 dollars de Google pour avoir signalé le problème

La mise à jour de sécurité publiée par Google en novembre a permis de corriger une vulnérabilité assez sérieuse qui pouvait permettre à une personne de contourner l'écran de verrouillage de nombreux téléphones Android en moins d'une minute sans aucun logiciel ou outil spécial. En effet, le chercheur en cybersécurité David Schütz a accidentellement trouvé un moyen de contourner l'écran de verrouillage de ses smartphones Google Pixel 6 et Pixel 5 permettant à toute personne ayant un accès physique à l'appareil de le déverrouiller.

Le processus, étonnamment simple, ne nécessite qu'un accès physique à un téléphone et une carte SIM supplémentaire verrouillée par un code PIN. Il suffit d'échanger la carte SIM supplémentaire, de saisir trois fois un code incorrect pour la carte SIM et, enfin, de saisir le code PUK (Personal Unblocking Key) qui se trouve généralement sur la carte support de la carte SIM. Et avec ces simples étapes, l'écran de verrouillage disparaît.

Schütz dit avoir découvert la faille par accident après que son Pixel 6 se soit vidé de sa batterie, qu'il ait saisi son code PIN de manière erronée à trois reprises et qu'il ait récupéré la carte SIM verrouillée à l'aide du code PUK.

Nom : pixelbb.jpg
Affichages : 27242
Taille : 14,9 Ko

À sa grande surprise, après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, l'appareil n'a pas demandé le mot de passe de l'écran de verrouillage, mais a seulement demandé un scan des empreintes digitales. « J'ai découvert ce bug après 24 heures de voyage. En arrivant chez moi, mon Pixel 6 était à 1 % de batterie. J'étais au milieu de l'envoi d'une série de messages texte quand il est tombé en panne. Je me suis précipité vers le chargeur et j'ai redémarré le téléphone.

« Le Pixel a démarré et m'a demandé le code PIN de la carte SIM. D'habitude, je le connaissais, mais cette fois, je n'arrivais pas à m'en souvenir correctement. J'espérais pouvoir le trouver, alors j'ai essayé quelques combinaisons, mais j'ai fini par entrer 3 codes PIN incorrects, et la carte SIM s'est verrouillée. Elle avait maintenant besoin du code PUK pour se déverrouiller et fonctionner à nouveau. »

Les appareils Android demandent toujours un mot de passe ou un motif pour l'écran de verrouillage au redémarrage pour des raisons de sécurité, il n'était donc pas normal de passer directement au déverrouillage par empreinte digitale.

David Schütz a poursuivi ses expériences et, lorsqu'il a essayé de reproduire la faille sans redémarrer l'appareil et en partant d'un état déverrouillé, il a compris qu'il était possible de contourner également la demande d'empreinte digitale, en passant directement à l'écran d'accueil. L'impact de cette faille de sécurité est assez grand, affectant tous les appareils fonctionnant sous Android versions 10, 11, 12 et 13 qui n'ont pas été mis à jour avec le correctif de novembre 2022.

Lorsque Schütz a saisi le numéro PUK correct, la fonction "dismiss" a été appelée deux fois, une fois par une fonction en arrière-plan qui surveille l'état de la carte SIM, et une fois par le composant PUK. La correction de Google pour ce bogue est assez simple. Cette vulnérabilité est officiellement enregistrée sous le nom de CVE-2022-20465. Google a publié les correctifs dans la branche Android 13 sur AOSP, mais ils ont également été portés dans les branches Android 10, 11 et 12.

Citation Envoyé par David Schütz
J'ai envoyé le rapport. Je pense que c'était mon rapport le plus court jusqu'à présent. Il n'a fallu que 5 étapes simples.

Après qu'il ait été examiné, il y a eu essentiellement un mois de silence. J'ai entendu dire qu'il pourrait en fait être fermé comme un doublon. Apparemment, quelqu'un l'avait déjà signalé auparavant, même si c'est mon rapport qui les a fait agir. Il semble que quelque chose se soit mal passé dans le traitement du rapport original. En effet, 31 jours après avoir signalé le problème, j'ai reçu un courriel automatique indiquant que "l'équipe chargée de la sécurité d'Android estime qu'il s'agit d'un doublon d'un problème précédemment signalé par un autre chercheur externe". C'était un peu le moment de la signature du bug bounty, un bug passant de 100 000 dollars à 0 dollar. Je ne pouvais pas vraiment faire autre chose qu'accepter le fait que ce bug est maintenant un doublon et ne paiera pas.

Presque deux mois se sont écoulés après mon rapport, et il n'y avait que du silence. Le 59e jour, j'ai envoyé un message au ticket, demandant une mise à jour du statut. J'ai reçu une réponse type disant qu'ils travaillaient toujours sur la correction. Trois mois après mon rapport, j'étais à Londres pour assister à l'événement chasse-bugs de Google appelé ESCAL8. Le correctif de septembre 2022 venait de sortir, j'ai mis à jour mon téléphone et, une nuit dans ma chambre d'hôtel, j'ai essayé de reproduire le bug. J'espérais qu'ils l'avaient déjà corrigé. Non. J'étais toujours capable de déverrouiller le téléphone.

Cet incident dans la chambre d'hôtel m'a vraiment fait peur. J'avais l'impression de m'inquiéter et de me soucier beaucoup plus de la correction du bug que de Google lui-même. Ce qui ne devrait pas être le cas. Même si je réagis de manière excessive. Cette nuit-là, j'ai commencé à contacter d'autres Googlers qui étaient présents à l'événement avec nous.

Le lendemain, j'ai fini par expliquer ma situation à plusieurs personnes, et j'ai même fait une démonstration en direct avec certains des Pixel dans les bureaux de Google. Par la suite, ils m'ont dit que même si mon rapport était un doublon, ce n'était qu'à cause de mon rapport qu'ils avaient commencé à travailler sur la correction. C'est pourquoi ils ont décidé de faire une exception et de récompenser 70 000 dollars pour le contournement de l'écran de verrouillage. J'ai également décidé (avant même la prime) que j'avais trop peur de publier le bogue en direct et que, comme la correction était prévue dans moins d'un mois, cela n'en valait pas vraiment la peine. J'ai décidé d'attendre la correction.
Pour avoir signalé le problème, Google a versé 70 000 dollars à David dans le cadre de son programme de primes aux bugs. Malheureusement, le processus ne s'est pas déroulé aussi facilement qu'il l'aurait dû. Selon le récit des événements par David, il a tenté de signaler le problème il y a environ cinq mois, et Google a alors déclaré qu'il s'agissait d'un faux et qu'il n'était pas éligible à une récompense. Des mois plus tard, après avoir montré le problème à certains employés de Google et avoir fixé une date limite pour une divulgation publique, le problème a finalement été corrigé et résolu.


Cette situation démontre la nécessité d'effectuer des mises à jour de sécurité régulières et à long terme pour les téléphones qui sont probablement encore en service. Naturellement, toute personne possédant un téléphone potentiellement vulnérable devrait installer les dernières mises à jour de sécurité dès qu'elles sont disponibles. En attendant, ce n'est pas une stratégie viable pour une utilisation régulière, mais redémarrer un téléphone sans le déverrouiller devrait empêcher les gens d'accéder à vos données privées.

Source : Cybersecurity researcher David Schütz

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

La virtualisation Android 13 permet au Pixel 6 d'exécuter Windows 11 et des distributions Linux, telles que Ubuntu ou Arch Linux Arm

Android 13 est disponible pour les téléphones Pixel. L'OS permet de sélectionner uniquement les médias spécifiques auxquels les applications vont accéder et bien d'autres