Nuova vulnerabilità Android: basta una scheda SIM per bypassare la schermata di blocco

Dopo pochissimi giorni dal rilascio delle patch di sicurezza di novembre, ecco che si ritorna a parlare di una vulnerabilità scoperta recentemente e che affligge il sistema operativo Android: il ricercatore David Schütz è stato in grado di bypassare la schermata di blocco dello smartphone semplicemente utilizzando una scheda SIM normalissima.

Offerte Amazon

Il funzionamento di questa falla di sicurezza è pericolosamente semplice: è necessario che un malintenzionato abbia fisicamente accesso allo smartphone e che sia in possesso di una SIM protetta da codice PIN e di cui conosca anche il codice PUK ed il gioco è fatto. Inserendo la SIM nello smartphone al posto di quella vecchia, all'utente sarà richiesto di inserire il codice PIN, ed è proprio questo il momento in cui è possibile sfruttare la falla.

Basta infatti sbagliare di proposito il codice PIN per tre volte e dunque digitare il codice PUK per sbloccare lo smartphone, bypassando del tutto la schermata di blocco. Potete vedere l'intero procedimento nel video qui in basso, pubblicato proprio da David Schütz sul proprio canale YouTube.

Senza andare troppo nello specifico, basta sapere che il sistema operativo Android mostra la schermata di blocco "al di sopra" di tutte le altre attività: in alcuni casi, per rimuovere questa schermata basta autenticarsi con l'impronta digitale o tramite riconoscimento facciale, mentre in altri casi è necessario inserire per forza il codice (questo avviene solitamente dopo aver appena acceso il dispositivo).

Nel caso di questa falla, quando l'utente inserisce la nuova SIM protetta da codice PIN, viene mostrata una "nuova schermata di blocco" al di sopra di quella classica, nella quale inserire appunto il codice PIN e il codice PUK della SIM. Quando il codice PUK viene confermato, il sistema operativo rimuove però tutte le schermate di blocco (ovvero quella di richiesta del codice PIN e quella classica di Android a cui tutti siamo abituati), mentre dovrebbe limitarsi a nascondere la schermata relativa al codice PIN della SIM.

Questa falla di sicurezza è molto efficace con dispositivi che sono stati sbloccati almeno una volta prima di effettuare questa procedura: nel caso in cui il dispositivo sia stato appena acceso, la falla funzionerà comunque, ma sarà impossibile accedere ad alcuni dati e alcune app potrebbero funzionare male (questo perché il sistema operativo rende accessibili tutti i dati solo dopo essere stato sbloccato almeno una volta).

Nonostante la falla sia stata scoperta su un telefono Pixel, il bug è presente direttamente nel codice sorgente di Android Open Source Project (AOSP): questo significa che tutti i dispositivi che eseguono software basato su questo codice potrebbero essere vulnerabili. Alcuni utenti hanno confermato che il procedimento descritto in precedenza funziona su dispositivi che eseguono LineageOS e GrapheneOS, mentre sembra che su dispositivi Samsung più recenti non funzioni.

Questa vulnerabilità è formalmente registrata con il nome CVE-2022-20465 e Google ha già confermato di averla risolta del tutto: l'azienda ha pubblicato le correzioni nel codice sorgente AOSP di Android 13 e di versioni più vecchie (in particolare, Android 10, 11 e 12).

Nel corso dei prossimi giorni i vari produttori rilasceranno un aggiornamento per risolvere questo pericoloso problema.