Les utilisateurs d’Android sont invités à mettre à jour leur téléphone après que des experts ont découvert un problème sur le Google Pixel.

L’expert en cybersécurité David Schütz a accidentellement découvert un hack permettant de déverrouiller ses appareils Google Pixel sans connaître le code de passe.

Le chercheur en sécurité a expliqué sur son blog qu’il est tombé sur le problème par hasard lorsqu’il a oublié le code PIN de son téléphone et a dû utiliser le code PUK (Personal Unblocking Key) pour retrouver l’accès. Après avoir effectué ces étapes, Schütz a remarqué une vulnérabilité.

« Il s’agissait d’un nouveau démarrage, et au lieu de l’icône de verrouillage habituelle, l’icône d’empreinte digitale s’affichait « , a-t-il écrit.

« Il a accepté mon doigt, ce qui ne devrait pas se produire, car après un redémarrage, vous devez entrer le PIN ou le mot de passe de l’écran de verrouillage au moins une fois pour décrypter l’appareil. »

Schütz a exploité le bug dans une vidéo publiée sur YouTube.

Regardez plus d’actualités techniques en direct et à la demande avec Flash. Plus de 25 chaînes d’information en un seul endroit. Vous ne connaissez pas Flash ? Essayez un mois gratuitement. Offre valable pour une durée limitée &gt ;

Cela signifie que si quelqu’un accédait à votre téléphone, il saisirait délibérément trois numérisations d’empreintes digitales incorrectes et désactiverait temporairement les fonctions biométriques.

Un pirate potentiel pourrait retirer votre carte SIM et la remplacer par la sienne dans votre téléphone.

Il pourrait entrer incorrectement trois tentatives de code PIN avant d’être invité à fournir un code PUK pour la carte SIM qui serait désormais la sienne.

Il saisit alors le code PUK et peut alors réinitialiser le code PIN.

« C’était étrangement dérangeant », a déclaré Schütz. « Mes mains ont commencé à trembler à ce moment-là. »

The Security &amp ; bug bounty a testé les mêmes étapes sur un Google Pixel 5 et a obtenu le même résultat.

Un risque majeur, l’action ne peut être exigée que si quelqu’un possède physiquement votre téléphone.

Selon Schütz, ce bug inhabituel implique le changement de carte SIM.

Cette découverte fortuite a conduit M. Schütz à signaler le problème au propriétaire du système d’exploitation, Google.

Le géant de la technologie a publié une mise à jour pour corriger le problème, trois mois après que Schütz l’ait signalé à la société.

Schütz affirme que Google l’a récompensé de 70 000 $ pour avoir aidé à trouver le problème.

Même si ce bug a commencé comme une expérience pas très agréable pour moi, le hacker, après que j’ai commencé à « crier » assez fort, ils l’ont remarqué et ont vraiment voulu corriger ce qui n’allait pas », a-t-il déclaré.

« Au final, je pense que Google s’en est plutôt bien sorti, même si le délai de correction me semble encore long ».

Le bogue Android corrigé a été inclus dans la mise à jour de sécurité du 5 novembre 2022.