Esta vulnerabilidad podría exponer datos confidenciales almacenados del usuario en las cuentas de Google. El error que descubrió Rodríguez permite a los atacantes con acceso físico a un dispositivo pasar por alto la pantalla de bloqueo y acceder a datos personales, incluidas fotos, historial de navegación y contactos del usuario.

 

La conciencia y la inacción de Google

Curiosamente, Rodríguez inicialmente buscó una forma de abrir enlaces de Google Maps directamente desde la pantalla de bloqueo. Sus exploraciones llevaron al descubrimiento de esta vulnerabilidad.

Lo más preocupante es la afirmación que hizo Rodríguez de que Google ha estado al tanto de este problema durante al menos un tiempo de seis meses sin tomar medidas. Según informó el investigador, Google reconoció el problema en el mes de mayo, pero ni siquiera a finales del mes de noviembre, no se había programado ninguna actualización de seguridad para solucionar el problema de seguridad.

 

Escenarios de explotación y riesgos

La vulnerabilidad presenta dos escenarios principales, basados ​​en la configuración de Google Maps por parte del usuario. En el primero, donde el Modo de conducción no está habilitado, los atacantes tienen la facilidad de acceder y compartir ubicaciones recientes y favoritas, así como los contactos del usuario.

En el segundo escenario es más complejo, implica encadenar otro exploit para acceder y publicar fotografías, manipular ampliamente la cuenta de Google y potencialmente obtener el acceso completo a la cuenta. Rodríguez insta a los usuarios de Android a probar esta opción para evitar la pantalla de bloqueo en sus dispositivos e informar sus hallazgos.

 

Incidentes anteriores y la respuesta de Google

Este no es el primer incidente de omisión de pantalla de bloqueo que ha pasado en Android. El año pasado, David Schütz descubrió un problema similar en los dispositivos Google Pixel.

Un atacante podría cambiar la tarjeta SIM de un dispositivo Google Pixel bloqueado por una en la que se conociera el código PUK. Esto permitió evitar una dificultad en la pantalla de bloqueo, un fallo de seguridad importante que requería una habilidad técnica mínima para explotarlo.

El tiempo de respuesta de Google a tales vulnerabilidades ha sido notablemente lento: el incidente anterior se informó en el mes de julio, pero no se solucionó hasta el mes de noviembre con un parche de seguridad.

Este patrón genera preocupación sobre el compromiso del gigante tecnológico de abordar rápidamente las fallas de seguridad que ponen en riesgo a los usuarios.

 

Fuente: Bitdefender Central