ガジェット

PIN ロックした SIM で Android のスクリーンロックをバイパス可能な脆弱性

Android の 2022-11-01 セキュリティパッチレベルでは、PIN ロックした SIM を使用してスクリーンロックをバイパス可能な脆弱性 CVE-2022-20465 が修正されている
(9to5Google の記事
Android Police の記事
発見者のブログ記事
Google Git)。

この脆弱性は PIN ロックされた SIM の PUK を入力して PIN を再設定し、端末のロックを解除するとスクリーンロックも解除されてしまうというものだ。攻撃者は PIN ロックした SIM を用意し、スクリーンロック解除失敗によりロックされた端末の SIM と交換する。端末再起動後、SIM の PIN を入力を 3 回間違えると PUK による PIN 変更が可能になるので、PUK を入力して新しい PIN を設定する。脆弱性のある状態ではこの段階でスクリーンロックが解除されるのだという。

発見者は Pixel 6 で脆弱性を確認しているが、AOSP では Android 13 ブランチのほか Android 10 ~ 12L ブランチにも修正がバックポートされており、他の機種やフォークした OS にも影響する可能性がある。Android Police によれば Lineage OS で脆弱性が報告されている一方、GrapheneOS では既に修正済みだという。また、Samsung の端末は影響を受けないという報告もみられるとのこと。手元のシャープ製端末 (Android 12、パッチレベルは 10 月) で試してみたが、PUK を入力して SIM の PIN を再設定するとスクリーンロック画面になった。操作を間違ったのでなければ影響を受けないようだ。

すべて読む

| セキュリティセクション

| セキュリティ

| バグ

| Android
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

スマートフォンの指紋認証、快適に利用できてる?
2021年11月13日

Apple Pay の交通系 IC カード決済機能を悪用し、ロックされた状態の iPhone で不正に決済を行う手法
2021年10月03日

2人の子供がLinux Mintのスクリーンロックを突破
2021年01月22日

米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断
2020年06月28日

FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める
2020年01月22日

Google、Pixel 4の顔認証を目が開いている場合のみ使用可能にするオプションを追加予定
2019年10月24日

Galaxy S10の指紋認証、スクリーンプロテクターによっては登録されていない指紋でも認証してしまう問題
2019年10月19日

Nokia 9 PureView、指紋がない物体でも指紋認証を通ってしまうトラブル
2019年04月26日

米捜査機関では遺体の指を使用したiPhoneのアンロック試行が一般的になりつつある
2018年03月25日

iPhone XのFace IDは人間の目とブラックオリーブを区別できない?
2017年11月18日

Samsungの新スマートフォン「Galaxy S8」の顔認証は写真でもロック解除可能?
2017年04月05日

ロンドン警視庁考案、容疑者にiPhoneのロックを解除させる新たな方法とは?
2016年12月10日

ロックされたiPhone内の写真や個人情報を閲覧する手段が見つかる
2016年11月25日

Source: スラッシュドット