Falha permite contornar tela de bloqueio de celulares com Android
Vulnerabilidade pode permitir que criminoso com acesso físico a dispositivo Android burle debloqueio de tela e obtenha acesso ao celular da vítima.
O Google corrigiu na atualização do Android deste mês uma vulnerabilidade que havia sido reportada em junho de 2022 pelo pesquisador David Schütz: ao realizar testes em seus smartphones Google Pixel 6 e Pixel 5, Schütz descobriu que era possível desbloquear um celular e contornar a tela de bloqueio.
A vulnerabilidade afeta os dispositivos que contam com as versões 10, 11 e 12 do Android sem as atualizações do sistema operacional que foram lançadas neste mês. A informação é da empresa de segurança da informação Eset.

Segundo o pesquisador, a descoberta aconteceu por acaso: o equipamento ficou sem bateria e acabou sendo desligado. Depois do dispositivo ser carregado e ligado novamente, Schütz teve que digitar o código PIN de seu cartão SIM. Após três tentativas sem sucesso, o SIM foi boqueado e ele precisou entrar com a chave PUK. Após procurar a embalagem original do cartão SIM na qual estava a chave PUK e digitar o código, o sistema solicitou um novo código PIN. Depois de definir um novo código PIN e para surpresa do pesquisador, o celular não pediu para inserir o código PIN de desbloqueio, que é o que deveria ocorrer após um reinício do smartphone por razões de segurança. O dispositivo apenas solicitou a impressão digital.
Após perceber que algo estava errado, o pesquisador decidiu repetir o processo várias vezes. No entanto, em uma destas tentativas, Schütz esqueceu de reiniciar o dispositivo. E com o celular ligado e a tela bloqueada ativa, ele abriu a bandeja do cartão SIM e substituiu o SIM por outro e voltou a realizar o mesmo processo: ele inseriu um PIN incorreto três vezes, depois inseriu a chave PUK, criou um novo PIN e de repente algo inesperado aconteceu: a tela foi desbloqueada e, consequentemente, Schütz passou a ter acesso ao dispositivo.
O impacto da falha é muito grave, segundo o pesquisador: embora seja necessário contar com o acesso físico ao dispositivo, o fato de um criminoso precisar apenas de um cartão SIM e de um código PUK para desbloquear um dispositivo pode expor as informações de usuários que contem com o sistema Android desatualizado em seus smartphones, como usuários que têm seus celulares roubados ou que são alvos de casos de espionagem.
Até o lançamento da atualização de segurança de novembro, a falha ficou sem uma correção por, pelo menos, seis meses, mas a boa notícia é que não há registro de que a falha tenha sido explorada por cibercriminosos. Ainda assim, para se manterem seguros, usuários do Android devem atualizar o sistema operacional assim que o download das atualizações estiver disponível em seus celulares.
Com informações da Eset
Gostou do conteúdo do Blog do Maurício Araya? Leia outros destaques. Contribua com o debate, deixe seu comentário.
Siga as atualizações por meio dos canais no WhatsApp e Telegram; Google Notícias; e perfis nas redes sociais Threads, Bluesky, Mastodon, Tumblr, Facebook, Instagram, Pinterest e LinkedIn.