Pesquisadores de segurança descobriram uma falha de desvio da tela de bloqueio no Android 14 e 13. Essa falha poderia expor dados confidenciais nas contas do Google dos usuários do Android, o que é bem preocupante.
Falha na tela de bloqueio do Android
O pesquisador de segurança Jose Rodriguez (Via: Security Affairs) descobriu uma nova vulnerabilidade de desvio de tela de bloqueio para Android 14 e 13. Um agente de ameaça com acesso físico a um dispositivo pode acessar fotos, contatos, histórico de navegação e muito mais.
Há alguns meses, o pesquisador publicou em diversas plataformas, incluindo Twitter, Reddit e Telegram, perguntando se era possível abrir um link do Google Maps na tela de bloqueio porque ele não conseguia fazer isso com seu Pixel bloqueado. Rodriguez descobriu recentemente que é possível contornar a tela de bloqueio e afirmou que o Google também está ciente do problema há pelo menos seis meses e ainda não o resolveu.
Relato do problema
Rodriguez relatou o problema ao Google em maio e destacou que, no final de novembro, ainda não havia data prevista para atualização de segurança. O especialista esclareceu que o impacto das explorações varia de acordo com a instalação e configuração do Google Maps pelo usuário. A gravidade aumenta significativamente se o MODO DE CONDUÇÃO estiver ativado.
Abaixo estão os dois cenários, e níveis de gravidade relacionados, descritos pelo pesquisador:
- Se o usuário NÃO tiver o MODO DE CONDUÇÃO ativado: um invasor pode acessar locais recentes e favoritos (casa, trabalho…), também contatos, e compartilhar a localização em tempo real com contatos ou com um e-mail que o invasor pode inserir manualmente.
- Caso o usuário TENHA o MODO DE CONDUÇÃO ativado: ao encadear outro exploit, além dos acessos mencionados no ponto anterior, um invasor pode acessar as fotos do dispositivo, publicá-las ou adicioná-las como imagem de perfil da conta. Google, e você também terá acesso a amplas informações e configurações da conta ou contas Google, com a possibilidade de obter acesso total à conta a partir de um segundo dispositivo e muito mais que ainda será investigado.
- Rodriguez incentiva os usuários do Android a testar o desvio de bloqueio de tela em seus telefones e fornecer seus comentários, incluindo a versão do Android e o modelo de seus dispositivos.
Essa é mais uma falha de segurança encontrada no Android, que pode permitir a exposição de dados dos usuários. Esperamos que o Android traga atualizações que afastem esses problemas do Android.