Estes 4 apps maliciosos para Android acumulam mais de 1 mi de instalaçõesAtualize já: Google lança correção para falha crítica de segurança no Chrome
A descoberta foi por acidente, quando David Schütz viu seu Pixel 6 ficar sem bateria. Ele digitou seu PIN errado três vezes, e recuperou o cartão SIM bloqueado usando o código PUK (Personal Unblocking Key). Para sua surpresa, depois de desbloquear o SIM e selecionar um novo PIN, o dispositivo não pediu a senha da tela de bloqueio, mas apenas uma verificação de impressão digital. É importante destacar que dispositivos Android sempre solicitam uma senha ou padrão de tela de bloqueio na reinicialização, por motivos de segurança. Então, o que aconteceu não é normal. O pesquisador continuou observando até onde essa brecha poderia ir. Quando tentou reproduzir a falha sem reiniciar o dispositivo, partir de um estado desbloqueado, descobriu que também era possível ignorar a entrada por impressão digital, indo direto para a tela inicial. Com isso, um invasor pode simplesmente usar seu próprio cartão SIM no dispositivo de destino, desativar a autenticação biométrica (se bloqueada), digitar o PIN errado três vezes, fornecer o número PUK e acessar o dispositivo da vítima sem restrições. O impacto dessa vulnerabilidade afetava todos os celulares que executam as versões 10, 11, 12 e 13 do Android que não foram atualizados com um patch lançado em novembro de 2022.
Atualização corrige falha na tela de bloqueio dos celulares Google Pixel
A Gigantre das Buscas corrigiu o problema de segurança na última atualização do Android, lançada na semana passada, mas essa brecha ficou exposta nos celulares Google Pixel por pelo menos seis meses. Schütz relatou a falha ao Google em junho de 2022 e, embora a empresa tenha reconhecido a brecha, não lançou uma correção até 7 de novembro de 2022. A solução funcionou, portanto, se você é um usuário de Android 10, 11, 12 ou 13, execute a atualização distribuída no começo do mês imediatamente. Embora o Google tenha considerado a descoberta de Schütz como uma duplicata, a empresa abriu uma exceção e concedeu ao pesquisador US$ 70 mil (R$ 371,2 mil), por meio de seu programa de buscas por vulnerabilidades.