Portada
Hace 1 año | Por baraja a bugs.xdavidhu.me
Publicado hace 1 año por baraja a bugs.xdavidhu.me
70mil dólares por encontrar un bug que se saltaba el bloqueo de pantalla en los teléfonos de Google [ING]

70mil dólares por encontrar un bug que se saltaba el bloqueo de pantalla en los teléfonos de Google [ING]

 bugs.xdavidhu.me

Encontré una vulnerabilidad que afectaba aparentemente a todos los teléfonos Google Pixel y por la que si me dabas cualquier dispositivo Pixel bloqueado, podía devolvértelo desbloqueado. El fallo acaba de ser corregido en la actualización de seguridad del 5 de noviembre de 2022. El problema permitía a un atacante con acceso físico saltarse las protecciones de la pantalla de bloqueo (huella dactilar, PIN, etc.) y obtener acceso completo al dispositivo del usuario. La vulnerabilidad se rastrea como CVE-2022-20465 y podría afectar también a otros.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.9k 46

Comentarios

r

Poco me parece.

V 14
K 115
Aokromes

#1 si el bug es tan gordo y afecta a tantos dispositivos han sido extremadamente tacaños.

V 11
K 78
baraja
autor

Muy preocupante este bug si es reproducible en teléfonos Android que no tengan la actualización de seguridad última de noviembre de 2022.

Y la mayoría, salvo Samsung y alguna más, no actualizan en el mismo mes los parches de seguridad

V 8
K 64
Cesc_

#2 El mío tiene un parche medianamente viejo, acabo de probar y no se desbloquea, después de poner el PUK y elegir un nuevo pin pide desbloquear.

V 1
K 28
Cesc_
editado

De #4 #2 He seguido los mismos pasos vaya, poner mal la huella hasta que sólo me deja acceder con PIN, sacar y meter la sim, poner mal el pin hasta que me pide el PUK, ponerlo y el pin nuevo. Y la pantalla de bloqueo sigue (Es un xiaomi con Android 11)

Creo que no me he saltado nada.

V 3
K 47
Nylo
editado

#4 ¿y con el nuevo pin no puedes desbloquearlo? Cc #5

V 0
K 10
Aergon

#19 El PIN solo desbloquea la sim pero sigue haciendo falta otro pin, patrón o huella para desbloquear la pantalla.

V 0
K 8
asola33

#5 La vulnerabilidad es para los Google Pixel. No Xiaomi

V 2
K 26
noexisto

#25 Habla de más teléfonos sin indicarlos (no recuerdo como lo dice)

V 0
K 13
laveolo

#2 móvil soportado oficialmente por lineageOS y adiós problema.

El soporte de algunos fabricantes es vergonzoso

V 4
K 41
borre

#6 Para eso se requiere tener cierta técnica.

Un saludo.

V 1
K 16
Khadgar

#16 Y tener un móvil soportado.

V 1
K 19
p

#6 ¿Soporte? ¿Qué soporte? Es ridícula la fragmentación que han hecho los fabricantes para dejar obsoleto un dispositivo a los 2 o 3 años.

V 4
K 39
laveolo

#31 google no es el problema, el problema es lo que comenta #21

V 0
K 6
P

#34 Bueno, eso no tiene que ver con lo que se comenta en la noticia, creo yo.

V 0
K 12
laveolo

#40 un bug que se queda sin parchear en millones de teléfonos porque no se actualizan. No imagino circunstancia en la que no tenga relación

V 0
K 6
P

#42 Generalmente las actualizaciones críticas se siguen actualizando.

V 0
K 12
P

#6 Qué pasa, ¿que lineageOS no tiene bugs?

V 0
K 12
laveolo

#27 claro que tiene bugs, pero parchean a menudo

V 1
K 9
P

#30 A ver si te crees que Google no parchea sus teléfonos lol Que hayan tardado un poco más con este no significa que no estuvieran trabajando en ello.

V 0
K 12
MAD.Max

#2 A mi Xiaomi me actualizó hace un par de días a la versión de seguridad de Android del 1 de septiembre ... así que si, llevan "algo" de retraso ...

V 1
K 21
g

Este bug ya lo encontró mi padre hace mucho. Nos llama involuntariamente con el móvil en el bolsillo de su pantalón y él jura y perjura que lo bloquea bien pero que el móvil hace lo que le da la gana.

V 5
K 49
borre

#18 Y tú, claro claro

Ahora, a pedirle disculpas.

V 1
K 23
Shinu

#18 Eso me ocurrió hace tiempo varias veces, era por esto?

V 1
K 14
warheart

#26 basta leer la noticia y cuál era el bug para saber que no era por esto.

V 0
K 6
Cyberbob

#14 Android hablas supongo…

V 1
K 23
D

#15 iPhone mejor dicho.

V 1
K 20
D

#15 en efecto.

V 0
K 6
Carnedegato

La de parejas que habrá roto esto.

V 1
K 19
santim123

#9 No tengo nada en el móvil que pueda hacer mosquear a mi pareja.
Claro que... una tóxica, se puede enfadar hasta por como tengas ordenados los iconos de las apps.

V 3
K 40
Wajahpantat

#12 Seguro que tontéas con alguna compañera de la oficina.

V 1
K 12
P

#24 Cree el ladrón...

V 1
K 15
Wajahpantat

#28 yo no tonteo, yo voy a saco. El día que me muera no quiero irme pensando "qué bien, he sido fiel toda mi vida", yo quiero un "qué buena estaba la de recepción"

V 0
K 6
P

#32 Sí tu pareja lo sabe y está conforme, genial. Si tu pareja no lo sabe la estás mintiendo cada día

V 0
K 12
Wajahpantat

#39 Pero como lo va a saber? estás loco?, me pone de patitas en la calle.

V 0
K 6
n

#44 "Hasta el último friki de menéame sabía que mentía a su familia"

V 0
K 9
P

#44 No sé si estás trolleando o no lol

V 0
K 12
Abril2022

Qué barato sale salvar el mundo...

V 1
K 17
noexisto

Poco me parece, muy poco

V 0
K 13
Candidatas
10
meneos
tecnología NASA pide a SpaceX llevar la EEI a su ‘cementerio’ acuático después de 2030
15
meneos
tecnología Un equipo de desarrollo Español está diseñando una consola capaz de ejecutar las consolas clásicas de SEGA
10
meneos
tecnología Dos graves vulnerabilidades en Android y los Pixel obligan a intervenir a EE.UU.: «O actualizan antes de 10 días o no usen su smartphone de Google»
13
meneos
tecnología Web-Check permite entender de un vistazo cómo está la seguridad de cualquier sitio web
10
meneos
tecnología Toys “R” Us se convierte en la primera marca en crear un anuncio con Sora
10
meneos
tecnología La BANANA que está rompiendo Steam
16
meneos
tecnología Experimentan con un método para fijar piel sintética a los robots (ING)
20
meneos
tecnología Universal, Sony y Warner demandan a las empresas de IA Suno y Udio por entrenar sus modelos con canciones con copyright
5
meneos
tecnología Empieza la pesadilla de los propietarios del Fisker Ocean
16
meneos
tecnología Décadas después, John Romero recuerda el nacimiento del shooter en primera persona (ENG)
15
meneos
tecnología Si estás utilizando código de Polyfill.io en tu sitio - como más de 100.000 - elimínalo inmediatamente (ENG)
6
meneos
tecnología El trabajo de detective permite al equipo de Perseverance revivir el instrumento SHERLOC (eng)
7
meneos
tecnología Systemd 256.1 Corrige el bug "systemd-tmpfiles borra tu directorio /home de manera inesperada" [ENG]
8
meneos
tecnología Esta noria giratoria es lo último en granjas lecheras. Las más grandes pueden ordeñar más de 100 vacas a la vez
7
meneos
tecnología Apple puede romper la DMA con las reglas de dirección de la App Store, dice la UE [ENG]
9
meneos
tecnología Alguien ha utilizado una Raspberry Pi de menos de 10 euros para un estupendo proyecto: crear su propio Macintosh original
7
meneos
tecnología EEUU, China y Reino Unido, los mercados más atractivos para invertir en baterías: España, ni sale y pierde fuelle en renovables
9
meneos
tecnología Ilya Sutskever, cofundador de OpenAI, anuncia su nueva empresa
6
meneos
tecnología ChatGPT y sus rivales son unos sosainas. Y convertirlos en chatbots graciosos no va a ser nada fácil
6
meneos
tecnología ¿te escucha tu móvil?
avalancha971

#36 Serán vulnerables. Pero sinceramente me preocuparía más de todas las vulnerabilidades que no requieren acceso físico al teléfono.

No descartaría que este agujero fuera conocido y utilizado por la policía de bastantes países, y que no existiese interés real en corregirlo.

V 1
K 10
avalancha971

Al final explica cómo fue corregido el bug, y que se debe a una condición de carrera, algo que puede ser bastante más complicado de corregir de lo que uno podía pensar.

Por eso motivo, creo que igual podría ser cierto que el bug fuera duplicado, ya supieran de él, y a pesar de su importancia, debido a la valoración de su complejidad, no le hubieran dado importancia por no haberse hecho muy conocido entre el público.

Sin embargo, que el autor empezara a darlo a conocer en los eventos de Google, y que incluso planteara una fecha límite en la que lo haría público, igual fue lo que hizo que finalmente se dieran prisa por corregirlo.

V 1
K 10
MAD.Max

#11 ¿y qué pasará con todos esos dispositivos que ya no tienen actualizaciones?

V 0
K 7
Allesgut
editado

A esto se le llama externalizar, cuando la empresa incentiva mas a sus ingenieros a practicar el politiqueo empresarial que a producir, te toca tirar de la comunidad

V 0
K 9
D
editado

Con la "pandemia" rebajaron la seguridad del desbloqueo facial para poder hacerlo con mascarilla. Ahora desbloquearlo con una foto del dueño es AUN mas facil.

V 0
K 8
D

#8 el desbloqueo facial va como el culo en el 99% de teléfonos. El único que lo hacía volando era el Pocophone

V 0
K 6
D
editado

[Admin] editado por spam.

V 0
K 6