En el mundo de la informática no existe un sistema cien por ciento invulnerable por lo que deben actualizarse constantemente. Este es el caso del sistema operativo Android de los Google Pixel, teléfonos inteligentes de la compañía. Recientemente un experto de seguridad encontró una forma de acceder a su teléfono sin necesidad de credenciales, una de las peores vulnerabilidades en teléfonos Pixel.
Esto le ha hecho ganar una buena cantidad de dinero por su descubrimiento y ya Google ha parcheado la vulnerabilidad en su más reciente actualización.
¿De qué se trata esta vulnerabilidad en teléfonos Pixel?
Ha sido el experto en ciber seguridad David Schütz quien se ha topado con este error por casualidad. Solo por curiosidad este analista ha encontrado una vulnerabilidad en el sistema operativo Android de los Google Pixel más recientes. En su caso, ha hecho la prueba con un Pixel 6, dando a entender que afecta las versiones a partir de Android 10.
Así lo detalló en su blog y posteriormente lo demostró en un video, donde desbloqueó su teléfono con ayuda de una SIM Card.
El experimento fue bastante sencillo, simplemente sacó su actual tarjeta SIM y la reemplazó por una nueva con código PUK. Luego procedió a bloquear el equipo totalmente al intentar ingresar huellas erróneas.
Así, cualquier atacante podría ingresar su propia tarjeta SIM con una PUK conocida e ingresar el PIN de seguridad erróneamente en tres intentos. Finalmente, deberá ingresar el código PUK y podrá desbloquear el teléfono y usarlo sin problema.
Con este error, un atacante podría hacer un sinfín de cosas, ya que tendría acceso al teléfono de la víctima por completo. Solo deberá instalar un software malicioso y podrá evadir cualquier sospecha de que se ha sufrido un ataque.
A pesar de esto, existe la limitación de tener que acceder físicamente al dispositivo, ya que de otra forma no funcionaría. (Lea también: ¿Qué son los Ataques Térmicos y cómo pueden Robar tus Contraseñas?)
Un parche de seguridad ha corregido el error
Afortunadamente gracias a la advertencia de este experto, la vulnerabilidad fue parcheada en una actualización de noviembre de este 2022. De acuerdo a Google, este error fue causado por la forma en la que Android descarta ciertas pantallas de seguridad.
Esto quiere decir que cuando se ingresa el código PUK, obvia la pantalla de seguridad y permitía el ingreso al sistema. Por esta razón se podía acceder al teléfono tan fácilmente con este método.
Lo peor del asunto es que como pasa en muchos dispositivos con Android, esta actualización no estará disponible de inmediato. Esto quiere decir que muchos teléfonos seguirán vulnerables ante este tipo de ataques.
Solo los Pixel desde el modelo 4 en adelante podrán instalar este parche apenas esté disponible. No obstante, hay que tomar en cuenta que este error sigue siendo un problema que dará dolores de cabeza a muchas personas.
Una recompensa de 70.000 dólares para quien descubrió la vulnerabilidad
David Schultz al comprobar que este error ocurría en varios dispositivos de Google, decidió ponerse en contacto con la empresa. Es así como este experto ha logrado obtener la decente suma de 70.000 dólares por reportar este problema a la compañía.
Sin embargo, no fue tan fácil para Schultz lograr recibir este dinero, ya que al principio se rehusaban a pagarle.
A pesar de esto y luego de mucho drama, Schultz consiguió que le pagaran el dinero después de varios meses. De esta forma se puede ayudar a ir blindando todo tipo de software, razón por la cual se lanzan parches mensuales en Android.
Esto demuestra que no existe un sistema que pueda ser completamente invulnerable y ante las circunstancias correctas puede ser afectado.
Lo más curioso del asunto, es que este analista de ciber seguridad se topó con el error de forma accidental. Ya que ocurrió cuando se encontraba enviando un mensaje con su teléfono Pixel 6 y al cabo de unos minutos se quedó sin batería.
Por lo tanto tuvo que conectarlo a corriente y solicitar el PIN de la SIM. Al hacerlo erróneamente a los tres intentos, ingreso el PUK y luego logró acceder al teléfono sin desbloquearlo con los métodos de seguridad habituales.
Una lección aprendida para futuras vulnerabilidades de Android
Este tipo de descubrimiento de nuevos bugs o errores de seguridad permiten optimizar y mejorar los sistemas operativos. En el caso de Android, el cual es un sistema que va evolucionando cada año, sirve para poder aplicarle parches cada cierto tiempo.
De esta forma se pueden desarrollar sistemas cada vez más robustos y seguros para los usuarios. Tomando en cuenta siempre la necesidad de tener una plataforma móvil que sea fácil de utilizar pero que pueda salvaguardar la información de las personas.
Por esta razón es importante hacer auditorias constantes y pruebas de calidad que puedan encontrar este tipo de errores fortuitos. Así se podrán evitar ataques en el futuro que pongan en peligro no solo a los usuarios sino a la compañía en general.
Autor: Mariluzza
