Een kwetsbaarheid maakt het mogelijk voor een aanvaller met fysieke toegang om Google Pixel-telefoons alleen door middel van een pukcode te ontgrendelen. Mogelijk speelt het probleem ook bij andere smartphonefabrikanten Google heeft eerder deze week een beveiligingsupdate uitgebracht om het probleem te verhelpen, maar maakt in de beschrijving niet duidelijk hoe ernstig deze kwetsbaarheid in de praktijk kan zijn. Google heeft de impact als "high" bestempeld.

De "full lock screen bypass" die onderzoeker David Schutz ontdekte, aangeduid als CVE-2022-20465, vereist dat een aanvaller alleen over de pukcode van de gebruikte simkaart beschikt of zijn eigen simkaart gebruikt. Schutz beschrijft een aanval waarbij een aanvaller als eerste het toestel van een slachtoffer via de biometrische vingerafdruk probeert te ontgrendelen. Dat mislukt, waardoor de biometrische authenticatie wordt uitgeschakeld. Vervolgens verwijdert de aanvaller de simkaart uit het toestel. De aanvaller stopt nu zijn simkaart in het toestel en voert drie keer een verkeerde pincode van de simkaart in.

De simkaart is nu vergrendeld en vereist een pukcode om te worden ontgrendeld. De aanvaller voert de pukcode van zijn simkaart in en geeft een nieuwe pincode voor zijn simkaart op. Daarna is het toestel ontgrendeld. Schutz rapporteerde de kwetsbaarheid aan Google. Ondanks de impact van deze kwetsbaarheid kwam Google pas vijf maanden na de bugmelding met een update. Daarnaast bleek dat een andere onderzoeker dit beveiligingslek al eerder bij Google had gemeld.

Schutz zou normaliter dan ook geen beloning voor zijn bugmelding hebben ontvangen, aangezien het hier om een dubbele melding ging, maar Google besloot in dit geval een uitzondering te maken en kwam met een beloning van 70.000 dollar. Google heeft het probleem in de generieke Androidcode verholpen. Schutz sluit niet uit dat ook andere smartphonefadbrikanten kwetsbaar zijn. In een beschrijving van meerdere verholpen beveiligingslekken, waaronder ook CVE-2022-20465, staat dat de ergste kwetsbaarheid een lokale aanvaller zijn rechten kan laten verhogen, zonder aanvullende permissies.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2022-11-01' of '2022-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11, 12, 12L en 13.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.