Google Pixel 7 : comment une simple carte SIM suffisait pour le hacker il y a encore peu de temps

 
Si vous n’avez pas encore mis à jour votre Google Pixel avec le patch de sécurité de novembre, ne prêtez peut-être pas votre smartphone à n’importe qui. Une simple carte SIM pourrait permettre de déverrouiller votre téléphone. Voici l’histoire incongrue de cette vulnérabilité sérieuse, heureusement corrigée maintenant.
Comparaison du bloc photo avec le Pixel 6 (en dessous) // Source : Frandroid – Chloé Pertuis

Une simple carte SIM. C’est tout ce dont avait besoin une personne mal intentionnée jusqu’au dernier patch de sécurité de novembre, pour accéder aux données stockées sur votre Google Pixel.

David Schütz (via Gizmochina), un développeur spécialisé dans la sécurité informatique et la recherche de bug a découvert cette vulnérabilité.

Comment fonctionne ce bug ?

L’idée était simple : insérer une carte SIM dans un Pixel puis taper trois codes PIN incorrects. Là, le Pixel demandait le code PUK de la carte SIM. Une fois celui-ci rentré, il suffisait de créer un nouveau code PIN et le mot de passe de l’appareil ne vous était même pas demandé pour y accéder.

Voici le procédé complet en vidéo :

Sur son blog, David Schütz explique brièvement les raisons de ce bug. Il semblerait que, sur Android, il existe un concept « d’écran de sécurité », qui peut être plusieurs choses différentes. Il peut s’agir d’un écran de verrouillage avec code PIN, un écran demandant l’empreinte digital, ou encore un écran demandant le code PUK.

D’après l’interprétation du chasseur de bug, certains écrans ont une priorité sur d’autres. Lorsque le code PUK était entré, celui-ci envoyait une commande désactivant les écrans moins prioritaires. Les ingénieurs de Google ont, semble-t-il, retravaillé ce système pour éviter qu’un tel bug arrive à nouveau.

Plusieurs mois d’attentes

Le bug touchait potentiellement un grand nombre d’appareils, puisque le correctif le corrigeant a été appliqué aux versions AOSP d’Android 10, 11, 12, 12L et 13. Si vous êtes possesseur d’un Pixel (Pixel 4a ou plus récent), vous devriez dès maintenant pouvoir mettre à jour votre appareil avec le patch de sécurité de novembre et ainsi contourner cette vulnérabilité.

La chasse au bug peut s’avérer payante avec Google, le développeur a tout de même été rémunéré 70 000 dollars pour avoir alerté la firme de Mountain View sur ce qu’elle qualifie de « problème système de gravité élevée ».


Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !

Les derniers articles