米グーグルは11月初め、月例のAndroidおよびPixelスマートフォン向けセキュリティアップデートを配信開始しました。その中に、Pixelスマホのロックをパスコードや生体認証なしに解除できるバグの修正が含まれていることが明らかとなりました。
このバグ(CVE-2022-20465)は、セキュリティ研究者のDavid Schutz氏が発見したもの。自らのブログで「物理的にアクセスできる攻撃者は、ロック画面の保護(指紋、パスコードなど)を回避して、ユーザーのデバイスに完全にアクセスできる」と述べています。つまり、実際にPixelスマホを手に取れるハッカーは容易く実行できてしまうわけです。
そのやり方は、ざっと次の通りです。
- PIN(暗証番号)でロックされたSIMカードをPixelスマホに入れる
- PIN入力を3回間違える
- PUK(PINロック解除)コードを入力し、新しいPINコードを入力する
- Pixelスマホは完全にロック解除される
つまりハッカーは自分のPINロックされたSIMカードを持っていき、被害者のデバイスのSIMを交換し、上記の手順を行うだけ。条件を満たしたSIMカードがあれば、特別なスキルがなくてもPixelスマホを乗っ取れます。
今年半ば、Schutz氏はこのバグをグーグル(正確にはAndroidのバグ報奨金プログラム)に報告したものの、実際にグーグルが解決に動いたのは9月のことでした。その報酬として、7万ドルの報奨金が支払われたそうです。
I found a vulnerability that allowed me to unlock any @Google Pixel phone without knowing the passcode. This may be my most impactful bug so far.
Google fixed the issue in the November 5, 2022 security patch. Update your devices!https://t.co/LUwSvEMF3w
— David Schütz (@xdavidhu) November 10, 2022
11月のセキュリティ更新は、Pixel 4a以降で利用できます。要するに「PUKコードが分かっているSIMカードを持っていれば、ただSIMを交換するだけでPixelスマホが完全にロック解除できる」という特大の不具合のため、該当する製品をお持ちの方は速やかにアップデートをお勧めします。
Source:David Schutz,Google
via:9to5Google
※Schutzのuは、ウムラウト付きが正式な表記です