Errar es de humanos y para eso existen los parches de seguridad mensuales de Android. En el último parche de seguridad de noviembre se corrige la vulnerabilidad CVE-2022-20465, de severidad alta, por la cual un agente malicioso podría desbloquear un móvil Android sin mucho esfuerzo.
La buena noticia es que es necesario tener acceso físico al terminal durante al menos unos minutos, pero aún así los mecanismos de seguridad de Android deberían impedir que cualquier persona sin las credenciales pudiera desbloquear el móvil y acceder a nuestros datos. Era tan fácil como cambiar la tarjeta SIM.
Desbloqueo con un PUK cualquiera
El experto de seguridad David Schütz detalla con todo lujo de detalles en su blog el proceso fortuito por el cual se topó con una importante vulnerabilidad de Android que, no sin algo de drama y varios meses de por medio, terminaría reportándole una recompensa de 70.000 dólares.
Su experiencia se basa en un Google Pixel 6, pero al parecer afecta a todas las versiones a partir de Android 10, de modo que podría afectar perfectamente a más del 62% de los dispositivos activos, según las últimas cifras de distribución de versiones con las que contamos, de agosto. Esto, a no ser que los fabricantes hayan modificado las porciones de código afectados en sus capas, pues el código afectado se encuentra en AOSP y no en el código propietario de Google para los Pixel.
Con esta vulnerabilidad, es posible desbloquear al menos un Google Pixel 6 con tan solo tener un rato con él, un pincho para sacar la SIM y una SIM de la cual se conozca el código PUK. La forma más fácil de ver todo el proceso es en este vídeo publicado por el investigador
Básicamente, con el terminal bloqueado, se introducen huellas no reconocidas por el sistema hasta que el sistema se bloquea por completo, pidiendo el código PIN. Entonces, el atacante saca la tarjeta SIM original (de la cual no conoce su PIN o PUK) e introduce una tarjeta SIM propia, introduce el PIN incorrecto tres veces y después el código PUK que sí conoce. Entonces se desbloquea el móvil.
De este modo, un atacante podría con algo de maña tener acceso al móvil desbloqueado sin conocer claves y saltándose la biometría, instalar un spyware y volver a poner la SIM original para cubrir las huellas. No está claro a qué modelos afecta exactamente, aunque comentaristas en el vídeo de YouTube afirman haber podido reproducirlo al menos en un Google Pixel 3a, aunque otros indican que no pueden replicarlo en sus móviles.
El error está corregido en el parche de seguridad de noviembre, y Google explica que la causa está relacionada con el modo en el que Android descarta las distintas pantallas de seguridad. Al introducir el código PUK, el sistema da por completado en su lugar la pantalla de seguridad que está detrás, la que espera las huellas / patrón / contraseña / etc del terminal, desbloqueándolo por completo.
Como siempre, el problema es que no todos los móviles van a recibir el parche de noviembre, ni siquiera los Google Pixel. Solo los Google Pixel 4a en adelante tienen garantizadas las actualizaciones de seguridad, y es potencialmente posible que la vulnerabilidad también afecte a terminales con Android cercano a stock.
Más información | David Schütz
