Un chercheur a trouvé une faille qui permet à n’importe qui d’accéder à un Pixel, et à vraisemblablement beaucoup d’autres smartphones Android, même s’ils sont verrouillés. Après des mois sans retour réel de Google, le correctif vient d’être publié… et une prime lui a été accordée.
En juin dernier, le chercheur en sécurité David Schütz a découvert par hasard un moyen de contourner l’écran de verrouillage de tous les Google Pixel, même à jour, et certainement d’autres smartphones Android. La manipulation en cinq étapes, faciles à réaliser, peut être menée à bien en quelques minutes et demande simplement un accès physique à l’appareil.
Une découverte, un peu par hasard
Au début de l’été, le Pixel 6, de David Schütz est arrivé à court de batterie – jusqu’ici, rien d’extraordinaire, cela peut arriver à tous les utilisateurs. Après avoir rebranché son téléphone, il s’est vu demandé de saisir le code PIN de sa carte SIM. Or, voilà, à peine rentré d’un voyage de 24h, le chercheur en sécurité n’avait clairement pas la tête à ça. Il a malgré tout tenté une, puis deux, puis trois codes espérant conjurer son trou de mémoire à temps. Le chercheur a dû, comme tout utilisateur, passer par la procédure de récupération de la carte SIM verrouillée en utilisation son code PUK, pour Personal Unblocking Key.
Après l’avoir exhumé d’un fond de placard, il lui a été demandé de choisir un nouveau code PIN. Il s’est alors retrouvé face à l’écran de verrouillage « mais quelque chose n’allait pas », se rappelle-t-il dans le post où il décrit sa découverte. En effet, l’appareil de David Schütz ne lui a pas demandé le code pour déverrouiller son appareil comme il l’aurait dû. Au lieu de cela, il a affiché un message étrange indiquant que le smartphone démarrait. Un état qu’il n’a bien voulu quitter qu’après avoir été redémarré. A la surprise de l’expert en sécurité, il lui a alors seulement été demandé d’utiliser le lecteur d’empreinte du smartphone. Ce qu’il a fait et a ainsi pu utiliser son smartphone. Néanmoins, normalement, un appareil Android impose toujours de saisir un code de déverrouillage ou le dessin d’authentification après un redémarrage pour des raisons de sécurité évidente. Se voir offert directement l’accès aux lecteurs d’empreintes digitales n’était donc pas normal. Voilà pourquoi Davi Schütz s’est promis d’approfondir la question un peu plus tard.
Reproduire le problème et le faire connaître
Le lendemain, après avoir redémarrer son smartphone, saisi trois fois le mauvais code PIN, entré le code PUK, et saisi le nouveau code PIN, il s’est retrouvé face au même message bloquant. Il a répété l’opération plusieurs fois, jusqu’à ce qu’il oublier de rebooter son téléphone et qu’il se trouve alors face à un écran déverrouillé normal, verrouille ensuite l’appareil, change de carte SIM, réinitialise son code PIN. C’est là que, sans raison aucune, son smartphone a affiché son écran d’accueil déverrouillé.
Surpris, David Schütz a recommencé : verrouiller l’iPhone, réinsérer la carte SIM, réinitialiser le code PIN, et, une fois encore, il s’est trouvé face à un Pixel 6 déverrouillé. Une fois qu’il a été sûr de son fait, il a tenté de reproduire la manipulation sur son Pixel 5, et elle a fonctionné également.
Il suffirait donc à une personne mal intentionnée de prendre en main un Pixel, d’y insérer sa carte SIM verrouillée, dont il connaît le code PUK, et de déverrouiller l’appareil sans encombre.
David Schütz a alors rempli un rapport pour décrire la faille qu’il venait de découvrir. Elle a été validée assez rapidement. Après avoir consulté le programme de bug bounty, il s’est aperçu que sa trouvaille lui donnait normalement droit à une prime maximale de 100 000 dollars. Mais n’a pas reçu de nouvelles pendant une bonne trentaine de jours, avant de recevoir un mail lui indiquant que son rapport était un doublon d’un autre rapport.
Deux mois plus tard, il apprenait qu’un correctif était toujours en cours de développement. Au mois de septembre, il indiquait à Google qu’il divulguerait sa découverte le 15 octobre, mais les ingénieurs du géant américain lui répondaient que le patch ne sortirait pas en octobre…
Finalement, nous voilà en novembre, le patch vient d’être publié. Et à en croire David Schütz, Google ne serait mis à corriger ce bug qu’après son rapport et face à son incidence. On serait tenté de le croire. Pourquoi ? Parce qu’il s’est vu attribué une récompense de 70 000 dollars. Comme quoi, avec un peu de chance et de persistance, on finit toujours par obtenir un (gros) petit quelque chose…
Source :
Blog de David Schütz