Una vulnerabilidad en Android permite desbloquear un móvil con solo cambiar la tarjeta SIM

El investigador de seguridad David Schütz descubrió el pasado mes de junio una vulnerabilidad en Android que permite desbloquear un terminal que use el sistema operativo de Google, en sus versiones 10, 11, 12 y 13, con solo cambiar la tarjeta SIM y siguiendo cinco sencillos pasos. La compañía ha publicado este mes de noviembre una actualización de seguridad que la corrige y que deben instalar los usuarios en sus terminales para no comprometer la seguridad de sus dispositivos. Schütz, por su parte, ha visto recompensado su descubrimiento por parte de Google con 70.000 dólares.

Ahora que Google ha lanzado un parche corrige la vulnerabilidad, el investigador ha explicado en su blog como encontró la vulnerabilidad CVE-2022-20465, catalogada por Google como de gravedad alta, de forma casual en su Google Pixel 6. El terminal de Schütz se quedó sin batería y al iniciarlo de nuevo falló tres veces al introducir el PIN de la tarjeta SIM, lo que hizo necesario recurrir al código PUK de su operador para desbloquearla de nuevo. Su sorpresa fue mayúscula al comprobar que, tras establecer un nuevo PIN para la SIM, el Pixel no pedía el PIN de desbloqueo de la pantalla sino que solamente ofrecía la opción de escanear la huella dactilar, lo que ya es un comportamiento inusual.

Schütz realizó varias pruebas y trató de reproducir el fallo sin tener que reiniciar el dispositivo hasta que dio con un procedimiento que le permitía saltarse las capas de seguridad de Android y desbloquear su Pixel 6 sin necesidad de conocer el PIN para el desbloqueo de pantalla o identificarse con la huella dactilar.

Cómo desbloquear un móvil Android sin usar ningún método de identificación

Un atacante debe tener acceso físico al terminal y puede desbloquearlo en un par de minutos siguiendo estos pasos:

• El atacante intenta desbloquear el móvil con su huella sin éxito hasta que Android deshabilita la identificación biométrica por intentarlo demasiadas veces con una huella incorrecta y solicite el PIN para desbloquear la pantalla en su lugar.
• Sin apagar el dispositivo, extraer la tarjeta SIM y sustituirla por otra.
• Introducir erróneamente el PIN de la SIM tres veces hasta que queda bloqueada.
• Introducir el código PUK.
• Introducir un nuevo PIN para la SIM. Tras este paso, Android muestra la pantalla de inicio desbloqueada, permitiendo el uso del dispositivo.

Cuando Schütz reportó la vulnerabilidad a Google en junio pensaba que podía ser un problema específico de los Pixel, dado que lo hizo funcionar en su Pixel 6 y también en un Pixel 5. Sin embargo, en la información de Google sobre se esta vulnerabilidad se indica que afecta a las versiones 10, 11, 12 y 13 de Android, los que supone que su alcance es superior al 60% de los teléfonos con este sistema operativo.

Los móviles que no instalen el parche de seguridad que Google lanzó el pasado 1 de noviembre y contiene soluciones a otras 17 vulnerabilidades de gravedad alta, continuarán expuestos a este tipo de ataque.