Descubren un grave fallo en Android que pone en peligro a los usuarios

Android de Google ha corregido una serie de vulnerabilidades con la actualización de seguridad de diciembre de 2022. Una de las vulnerabilidades graves es un fallo que permite saltarse la pantalla de bloqueo de la mayoría de los dispositivos en menos de un minuto. El proceso no requiere ningún software o herramienta especial.

El resultado del bypass es que el hacker tendrá acceso completo al contenido del dispositivo. La grave vulnerabilidad de Android fue descubierta por David Schütz. Con ella, básicamente se puede desbloquear cualquier smartphone Android. Ya sea un dispositivo Pixel o Galaxy, no necesitas mucho esfuerzo para desbloquearlo. Puedes ver los datos de un teléfono robado o resetear el dispositivo para luego seguir monetizándolo.

Para un hacker, sería muy sencillo llevarlo a cabo

El método es sorprendentemente sencillo. El atacante sólo tiene que sostener el dispositivo respectivo en sus manos e insertar su propia tarjeta SIM bloqueada con PIN. A continuación, debe introducir el PIN de la SIM incorrectamente tres veces antes de recibir el código PUK. El atacante puede entonces asignar él mismo un nuevo PIN para la SIM.

Eso es todo, porque entonces la pantalla de bloqueo del dispositivo en Android desaparece y el acceso es libre. Si quieres probar esto, lo siento, ya no funcionará. Hay una solución y todos los sistemas actualizados están ahora mejor protegidos. La causa de la vulnerabilidad radica en el manejo que hace Android de los distintos niveles de medidas de seguridad.

Schütz ofrece en su blog información detallada y más detalles sobre los requisitos necesarios para llevar a cabo con éxito el ataque. Entre otras cosas, el ataque solo funciona si el smartphone ya ha sido desbloqueado y luego bloqueado de nuevo por el usuario legítimo desde la última vez que se encendió.

La empresa ya está en marcha con la solución

Según Schütz, Google ya ha confirmado el problema y le ha pagado una recompensa de 70.000 dólares por el fallo. La empresa de Internet ya ha publicado una solución para la vulnerabilidad con el último paquete mensual de parches para Android. También se ha actualizado el código del proyecto de código abierto de Android para cerrar la brecha. Así, las correcciones correspondientes ya están incluidas en las ramas AOSP para Android 13 , 12, 11 y 10.

Y es que la vulnerabilidad no sólo existe en los propios smartphones de Google. Es probable que la mayoría de los demás proveedores de dispositivos Android vulnerables también los pongan al día en forma de actualizaciones. La vulnerabilidad deja claro que es muy importante instalar siempre los últimos parches para Android.