"Así he ganado 70.000 dólares por encontrar un bug": el relato de un hacker y su hazaña ante Google

Un hacker ético ha descubierto una vulnerabilidad que afecta a todos los Google Pixel y que permite sortear la pantalla de bloqueo fácilmente.

"Así he ganado 70.000 dólares por encontrar un bug": el relato de un hacker y su hazaña ante Google
El Pixel 7 es uno de los smartphones que hemos analizado en Andro4all en octubre de 2022 / Imagen: Christian Collado

Con el análisis del Pixel 7 aún bastante fresco y habiendo pasado ya un buen tiempo después de su presentación oficial, habrá aún quien se sorprenda si los dispositivos de Google dan bastante que hablar. En este caso no vamos a centrarnos en un nuevo terminal o en ningún otro hardware de los de Mountain View, por cierto.

Nos llegan noticias de que un hacker ha descubierto un bug de la pantalla de bloqueo que afecta a todos los Google Pixel. Esto de por sí es importante, pero lo realmente curioso de la noticia es que, por descubrir esta vulnerabilidad, el hacker ha ganado 70.000 dólares como recompensa.

Un accidente que vale un montón de dinero

El propio hacker, un white hat (o "hacker ético") llamado David Schultz, ha publicado un extenso artículo en su blog personal detallando sus hallazgos y la comunicación a Google. El descubrimento se realizó de manera totalmente accidental, ya que se produjo mientras Schultz enviaba un mensaje y su Pixel 6 se quedó sin batería.

Lo siguiente que hizo fue conectarlo a la corriente, cargarlo y encenderlo. Entonces, el teléfono pidió el código PIN de la tarjeta SIM para iniciarse. Después de introducir un código erróneo tres veces, la SIM se bloqueó y pidió el código PUK, tras lo cual pudo introducir un PIN nuevo. Entonces llegó a la pantalla de bloqueo, pero había algo que no estaba bien.

A partir de aquí, el hacker decidió investigar más a fondo. Reprodujo la situación unas cuantas veces y, para su sorpresa, descubrió que había dado con algo que permitiría a cualquiera sortear con facilidad la pantalla de bloqueo. Todo lo que se necesita es acceso físico al teléfono, una SIM bloqueada y la herramienta para extraer la SIM. Aquí debajo puedes ver el fallo reproduciéndose en vídeo:

Después de confirmar la vulnerabilidad en su teléfono, Schultz repitió el proceso con un Pixel 5. Para su sorpresa el bug también funcionó en este teléfono. Lo siguiente fue contactar con Google que, al ser la segunda persona que les enviaba este fallo, le recompensó con los antes mencionados 70.000 dólares.

Por otra parte, Google ya ha solucionado el problema. La actualización de seguridad de noviembre de Android corrige esta vulnerabilidad, así que tan pronto la instales no tendrás que preocuparte por ella.

Reproducir en YouTube

Para ti
Queremos saber tu opinión. ¡Comenta!