5 Easy Steps to Bypass Google Pixel Lock Screens
2022/11/11 DarkReading — 2022年11月の Android アップデートには、Google Pixel のロック画面の、攻撃者によるバイパスというバグの修正版が含まれている。この Google Pixel のセキュリティ脆弱性は、研究者である David Schützにより発見され、6月に報告されたものだ。
Schütz は今週のブログで、「バッテリー切れのデバイスを再起動した後に、誤った PIN 番号を3回入力したところ、SIM カードがロックされてしまった。幸いにも、SIM カード・ロックを解除するための、工場出荷時の PUK コードが記された SIM パッケージを持っていた。そのため、正しい PIN を入力しなくても、このデバイスにアクセスができた」と説明している。
さらに彼は、「私のデバイスは完全にパッチ適用した Pixel 6 だが、ロック画面バイパスの脆弱性が確実にあると、少し落ち着いてから気がついた。私は古い Pixel 5 を手に入れ、このバグを再現してみたところ、それも上手くいった」とブログに記している。
Google Pixel のロック画面バイパスの脆弱性は、CVE-2022-20465 として採番されている。Schütz によるバイパスの手順は以下の通りである:
- 間違った PIN を3回入力する。
- 既知の PIN コードを用いて、対象デバイスの SIM を攻撃者が管理する SIM にホット・スワップする。
- 新しい SIM の8桁の PUK コードを入力する。
- 新しい端末の PIN を入力する。
- 端末のロックが解除される。
Schütz は、この脆弱性の発見に対して、$70,000 の報奨金を獲得したという。
偶然とはいえ、たいへんなバグが発見されましたね。先ほど、手元の Pixel 3a で試してみましたが、Pixel Update という項目があり、3a であることを確認するメッセージが現れ、そこでアップデートが済みました。初めて見る画面で、Setting の System か About Phone のどちらかだったと思います。ロック画面のバイパスという記述はありませんでしたが、おそらく、コレなんだと思います。
IoT OT Security News 
You must be logged in to post a comment.