関連記事
PINロックしたSIMでAndroidのスクリーンロックをバイパス可能な脆弱性
Android の 2022-11-01 セキュリティパッチレベルでは、PIN ロックした SIM を使用してスクリーンロックをバイパス可能な脆弱性 CVE-2022-20465 が修正されている(9to5Google の記事、Android Police の記事、発見者のブログ記事、Google Git)。
この脆弱性は PIN ロックされた SIM の PUK を入力して PIN を再設定し、端末のロックを解除するとスクリーンロックも解除されてしまうというものだ。攻撃者は PIN ロックした SIM を用意し、スクリーンロック解除失敗によりロックされた端末の SIM と交換する。端末再起動後、SIM の PIN を入力を 3 回間違えると PUK による PIN 変更が可能になるので、PUK を入力して新しい PIN を設定する。脆弱性のある状態ではこの段階でスクリーンロックが解除されるのだという。
発見者は Pixel 6 で脆弱性を確認しているが、AOSP では Android 13 ブランチのほか Android 10 ~ 12L ブランチにも修正がバックポートされており、他の機種やフォークした OS にも影響する可能性がある。Android Police によれば Lineage OS で脆弱性が報告されている一方、GrapheneOS では既に修正済みだという。また、Samsung の端末は影響を受けないという報告もみられるとのこと。手元のシャープ製端末 (Android 12、パッチレベルは 10 月) で試してみたが、PUK を入力して SIM の PIN を再設定するとスクリーンロック画面になった。操作を間違ったのでなければ影響を受けないようだ。
スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | Android
関連ストーリー:
スマートフォンの指紋認証、快適に利用できてる? 2021年11月13日
Apple Pay の交通系 IC カード決済機能を悪用し、ロックされた状態の iPhone で不正に決済を行う手法 2021年10月03日
2人の子供がLinux Mintのスクリーンロックを突破 2021年01月22日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク