Google Pixelに指紋認証やPINなどをすべて無効化してロックを解除できる脆弱性

端末をロックするPINや指紋認証をすべて回避し、内部のデータにアクセスできる脆弱(ぜいじゃく)性がGoogle Pixelにあったことが報告されました。このバグは2022年11月5日に配信されたセキュリティアップデートで修正されたばかりでした。

Accidental $70k Google Pixel Lock Screen Bypass - bugs.xdavidhu.me
https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/

セキュリティ研究者のデビット・シュッツ氏は、このバグを修正の5カ月以上前に発見していました。バグの存在により、悪意のある攻撃者が端末のロックを解除できる危険性がありましたが、セキュリティアップデートにより修正されました。ロック解除にはSIMカードのロックを解除する「PUKコード」が必要なものの、手順としては非常に簡単なものでした。

シュッツ氏がこのバグを発見したきっかけは、自身のPixel 6のPINコードをたまたま忘れてしまったことでした。端末を再起動した後にコードを何度も間違えて端末にロックがかかってしまったため、SIMカードの台紙に記載されたPUKコードを入力すると、以下のような画面が表示されたとのこと。画面には指紋認証を受け付けるアイコンが出ていますが、通常であれば再起動直後に指紋認証を受け付けることはないため、異常な挙動であることが分かります。

この状態で指紋認証を行うと、今度は「Pixel is starting...」という奇妙なメッセージが表示され、再起動するまでそのままだったそうです。

何度か検証を重ねた結果、特別なものは何もいらず、PUKコードさえあれば端末のロックを解除できる手順を確立させることに成功したとのこと。シュッツ氏は直ちにGoogleに報告し、37分後にはGoogleがバグとして認めたそうです。しかし、その後から対応の質と頻度が低下していきました。

緊急性が求められる重大なバグであると考えられるこの問題ですが、実に1カ月間もGoogleからの報告がなかったとのこと。さらに報告から3ヶ月近くが経過しても進展がなかったため、シュッツ氏はその時期に参加していたGoogleのイベントで実証実験を行うなどしたそうです。

それでも修正パッチは配布されず、シュッツ氏の危機感は募るばかり。結局報告から5カ月が経過した11月5日になってようやく、当該脆弱性「CVE-2022-20465」への対応を含む修正パッチがリリースされました。

正式なパッチを見て問題を分析したシュッツ氏によると、Androidには「セキュリティスクリーン」という概念があり、「PIN入力画面」「指紋認証画面」「パスワード入力画面」「PUK入力画面」など、複数のロック画面を互いに重ねることができるようになっています。これらは互いに重ねることができるのですが、しかし、特定の手順を経ると競合が起きて、本来呼び出されるはずのない画面が表示され、端末のロックが解除できてしまったということだそうです。