Google paga 70k dólares por descubrir un sencillo fallo de Android

Rubén Castro, 17 noviembre 2022

!Ha comenzado la Cyber Week de PcComponentes con descuentos de hasta el 70% en tecnología, envíos gratis a partir de 50 euros y con devolución hasta el 14 de enero! No te las pierdas...

Ver las mejores ofertas

Puedes reclamar una recompensa por errores si necesitas mucho dinero en poco tiempo. Un investigador ha conseguido ganar 70.000 dólares de Google por abrir accidentalmente los teléfonos Android sin necesidad de utilizar un código de acceso.


El fallo de alta gravedad conocido como CVE-2022-20465 fue descubierto por David Schütz de Hungría. Si se explota, podría dar lugar a una escalada de poder local sin necesidad de privilegios de ejecución adicionales.

El hackeo requiere que el atacante disponga de un dispositivo Android para tener éxito, pero es capaz de burlar las medidas de seguridad como el PIN, la forma, la contraseña, la huella dactilar o el rostro. Después de que la batería del Pixel 6 de Schütz fallara en medio de la escritura de mensajes de texto, se dio cuenta del problema.

El Pixel pedía al usuario el código PIN de la SIM después de conectar el cable de carga y reiniciar el dispositivo. Este código, que es distinto del que se utiliza para desbloquear la pantalla, evita que la tarjeta SIM sea robada. Schütz no recordó su código e introdujo tres dígitos incorrectos, lo que bloqueó la tarjeta SIM.

El PUK es lo único que puede desbloquear una tarjeta SIM que ha sido bloqueada. Está impreso en el envoltorio de la tarjeta SIM o puede obtenerse en el servicio de atención al cliente de un operador. Schütz utilizó este último método para restablecer su PIN. Después de un reinicio, la mayoría de los dispositivos Android solicitan contraseñas o PINs, pero el Pixel sólo solicitó un escaneo de la huella digital del usuario. Esto se hace por razones de seguridad.

Schütz investigó esta peculiaridad, al recrear estas actividades sin reiniciar el smartphone, fue posible atravesar la pantalla de bloqueo del smartphone por completo sin usar una huella digital. Mira el procedimiento arriba.

Tanto el Pixel 6 como el Pixel 5 de Schütz funcionaban correctamente. Antes de que Google parchease la vulnerabilidad el 5 de noviembre, los delincuentes podrían haberla aprovechado durante al menos seis meses. Los smartphones con Android 10-13 a los que les falta el parche de noviembre de 2022 son susceptibles de ser atacados.

Google ha acordado pagar una recompensa de 100.000 dólares por los fallos que permiten a los usuarios saltarse las pantallas de bloqueo. Schütz recibió 70.000 dólares porque Google no pudo reproducir el fallo, a pesar de que ya había sido reportado.