„Ich habe eine Schwachstelle gefunden, die scheinbar alle betrifft Google-Pixel Telefone, bei denen ich Ihnen ein gesperrtes Pixel-Gerät entsperrt zurückgeben könnte, wenn Sie mir ein gesperrtes Pixel-Gerät geben würden“, schrieb Schutz in seinem Blogbeitrag.
Alles begann, als das Pixel 6 von Schutz ihn aufgab und schnell rannte, um den Akku aufzuladen, nur um herauszufinden, dass das Telefon nach dem PIN-Code für den fragte SIM Karte. Er erinnerte sich nicht an die PIN, und nach drei fehlgeschlagenen Versuchen fragte das Telefon nach dem PUK-Code, den er hatte, und gab ihn erfolgreich ein.
Dieses Mal öffnete sich das Telefon zu seiner Überraschung und fragte nicht einmal nach dem Passwort, sondern zeigte sofort das Fingerabdrucksymbol an, was nicht passiert, wenn das Telefon von den Toten hochfährt. Er machte weiter und entsperrte das Telefon mit seinem Fingerabdruck, woraufhin das Telefon auf unbestimmte Zeit auf dem „Pixel startet …“ hängen blieb.
Er wiederholte den gleichen Vorgang wiederholt, und das Telefon blieb auf dem gleichen „Pixel wird gestartet…“-Bildschirm hängen. Nach mehreren Versuchen fragte das Telefon jedoch nicht einmal nach dem Fingerabdruck, sondern nur nach dem PUK-Code und forderte zum Festlegen einer neuen PIN auf, woraufhin er auf dem Startbildschirm angezeigt wurde.
Schutz versuchte dasselbe mit seinem Pixel 5, und es gab auch einen Fehler. Der Forscher stellt fest, dass der Fehler Smartphones mit Android 10 und höher betreffen könnte, und dass auch Smartphones anderer Anbieter neben Google anfällig sein könnten.
Die als CVE-2022-20465 verfolgte Sperrbildschirm-Schwachstelle wurde in dem am 5. November 2022 veröffentlichten Sicherheitsupdate für Smartphones mit Android 10 und höher behoben.
Google belohnte Schutz mit 70.000 US-Dollar, der den „versehentlichen“ Fehler privat an das Unternehmen meldete.