Le propriétaire d’un téléphone Android trouve accidentellement un moyen de contourner l’écran de verrouillage
Le chercheur en cybersécurité David Schütz a accidentellement trouvé un moyen de contourner l’écran de verrouillage sur ses smartphones Google Pixel 6 et Pixel 5 entièrement patchés, permettant à toute personne ayant un accès physique à l’appareil de le déverrouiller.
Exploiter la vulnérabilité pour contourner l’écran de verrouillage sur les téléphones Android est un processus simple en cinq étapes qui ne prendrait pas plus de quelques minutes.
Google a corrigé le problème de sécurité sur la dernière mise à jour Android publiée la semaine dernière, mais elle est restée disponible pour exploitation pendant au moins six mois.
Découverte accidentelle
Schütz dit avoir découvert la faille par accident après que son Pixel 6 soit tombé en panne de batterie, ait saisi son code PIN à trois reprises et récupéré la carte SIM verrouillée à l’aide du code PUK (Personal Unblocking Key).
À sa grande surprise, après avoir déverrouillé la carte SIM et sélectionné un nouveau code PIN, l’appareil n’a pas demandé le mot de passe de l’écran de verrouillage, mais uniquement une analyse d’empreintes digitales.
Les appareils Android demandent toujours un mot de passe ou un modèle d’écran de verrouillage lors du redémarrage pour des raisons de sécurité, donc passer directement au déverrouillage par empreinte digitale n’était pas normal.
Le chercheur a continué à expérimenter, et lorsqu’il a essayé de reproduire la faille sans redémarrer l’appareil, il s’est dit qu’il était possible d’aller directement à l’écran d’accueil (contourner également l’empreinte digitale), tant que l’appareil avait été déverrouillé par le propriétaire au moins une fois depuis redémarrer.
L’impact de cette vulnérabilité de sécurité est assez large, affectant tous les appareils exécutant les versions Android 10, 11, 12 et 13 qui n’ont pas été mis à jour au niveau du correctif de novembre 2022.
L’accès physique à un appareil est une condition préalable importante. Cependant, la faille a toujours de graves conséquences pour les personnes dont le conjoint est violent, celles qui font l’objet d’enquêtes policières, les propriétaires d’appareils volés, etc.
L’attaquant peut simplement utiliser sa propre carte SIM sur l’appareil cible, entrer trois fois le mauvais code PIN, fournir le numéro PUK et accéder à l’appareil de la victime sans restrictions.
Les correctifs de Google
Le problème est dû au fait que le protège-clavier a été rejeté à tort après un déverrouillage SIM PUK en raison d’un conflit dans les appels de rejet affectant la pile d’écrans de sécurité qui s’exécutent sous la boîte de dialogue.
Lorsque Schütz a saisi le bon numéro PUK, une fonction « dismiss » a été appelée deux fois, une fois par un composant d’arrière-plan qui surveille l’état de la carte SIM et une fois par le composant PUK.
Cela a entraîné non seulement la suppression de l’écran de sécurité PUK, mais également l’écran de sécurité suivant dans la pile, qui est le protège-clavier, suivi de l’écran suivant qui a été mis en file d’attente dans la pile.
S’il n’y a pas d’autre écran de sécurité, l’utilisateur accède directement à l’écran d’accueil.
Schütz a signalé la faille à Google en juin 2022, et bien que le géant de la technologie ait reconnu la réception et attribué un identifiant CVE de CVE-2022-20465, ils n’ont publié de correctif que le 7 novembre 2022.
La solution de Google consiste à inclure un nouveau paramètre pour la méthode de sécurité utilisée dans chaque appel « dismiss » afin que les appels rejettent des types spécifiques d’écrans de sécurité et pas seulement le suivant dans la pile.
En fin de compte, bien que le rapport de Schütz soit un doublon, Google a fait une exception et a accordé au chercheur 70 000 $ pour sa découverte.
Les utilisateurs d’Android 10, 11, 12 et 13 peuvent corriger cette faille en appliquant la mise à jour de sécurité du 7 novembre 2022.
14/11/22 – Post mis à jour pour plus de clarté sur la procédure d’exploitation des failles