Google sacaba a la venta el modelo Pixel 7 el 13 de octubre. Pocos días después David Schütz, reconocido experto en ciberseguridad, encontraba una vulnerabilidad que afecta al desbloqueo de pantalla de toda la gama de Google Pixel.
El descubrimiento se realizaba en los dispositivos Google Pixel 6 y Google Pixel 5, aunque Schütz quiso aclarar que es posible desbloquear cualquier modelo de la gama e incluso la incidencia se podría replicar en otros dispositivos Android.
Fallo en la pantalla de bloqueo de Pixel
Tras darse cuenta del error en junio de 2022, Schütz se puso en contacto con Google afirmando de haber encontrado un fallo que permite a un atacante de «saltarse las protecciones de la pantalla de bloqueo (huella dactilar, PIN, etc.) y obtener acceso completo al dispositivo del usuario». En un vídeo, Schütz mostró el fallo de la gama de Google Pixel, que se puede reproducir en cuatros sencillos pasos.
Google asignó un código CVE (Common Vulnerabilities and Exposures) a dicho error, el CVE-2022-20465, publicando una solución solo en la fecha del 7 de noviembre de 2022. Por su descubrimiento, Schütz recibió 70.000 dólares de recompensa.
Ataque con acceso físico al dispositivo
La vulnerabilidad registrada por Schütz requiere un acceso físico al dispositivo, con un bug que puede causar incidencias en términos de privacidad de datos. En el caso de un robo, por ejemplo, el atacante puede acceder a los datos personales del móvil. Solo con insertar su propia tarjeta SIM, ingresar el PIN incorrecto tres veces y proporcionar el número PUK, el delincuente podrá acceder al dispositivo sin restricciones.
«Me alegro mucho de que este fallo se esté arreglando. Esta fue la vulnerabilidad más impactante que he encontrado hasta ahora», concluyó Schütz.
