ClickCease 해커가 구글 픽셀 잠금 화면의 보안 결함을 악용한 사례

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

해커가 구글 픽셀 잠금 화면의 보안 결함을 악용한 사례

2022년 11월 22일 TuxCare 홍보팀

보안 연구원 데이비드 슈츠는 모든 Pixel 스마트폰의 심각한 보안 문제를 해결하고 기기 잠금을 해제하는 데 쉽게 악용될 수 있는 Google Pixel 잠금 화면 우회 해킹을 우연히 발견한 후 7만 달러의 버그 현상금을 받았습니다.

슈츠는 공격자가 비밀번호를 몰라도 Google Pixel 휴대전화의 잠금을 해제할 수 있는 취약점을 발견했습니다. 구글은 11월에 업데이트를 통해 CVE-2022-20465로 알려진 이 문제를 해결했고, 슈츠는 자신의 연구 결과를 공개할 수 있었습니다.

슈츠는 우연히 Pixel 휴대전화의 PIN 코드를 잊어버려서 PUK 코드를 입력해야만 액세스 권한을 얻을 수 있는 문제를 발견했습니다. 그는 프로세스가 성공적으로 완료된 후 표시된 잠금 화면에서 이상을 발견했습니다. 그의 손가락을 수락 한 후 기기가 이상한 "Pixel이 시작 중입니다..."라는 메시지와 함께 충돌했으며 Schütz는 강제 재부팅으로 문제를 해결했습니다.

슈츠에 따르면 이 문제는 특정 순서를 따르는 경우 잠금 화면 보호 기능이 완전히 꺼진다는 사실에 뿌리를 두고 있습니다.

먼저, 잠긴 장치에서 생체 인증을 비활성화하려면 위조 지문을 세 번 입력합니다. 그런 다음 장치의 SIM 카드를 공격자가 제어하는 PIN 코드가 설정된 SIM으로 교체합니다. 그런 다음 잘못된 SIM 핀을 세 번 입력하여 SIM 카드를 잠급니다. 그런 다음 디바이스는 사용자에게 SIM 카드 잠금을 해제하기 위해 8자리 고유 번호인 SIM PUK(개인 잠금 해제 키) 코드를 입력하도록 요청합니다. 그런 다음 공격자가 제어하는 SIM의 새 PIN 코드를 입력하면 기기가 자동으로 잠금 해제됩니다.

슈츠는 이 순서에 따라 잠금 해제된 홈 화면을 확인한 후 PUK 코드를 입력하고 새 PIN을 선택하기 전에 완전히 패치가 적용된 Pixel 6 및 Pixel 5의 잠금 화면을 완전히 우회했다는 사실을 깨달았습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
해커가 구글 픽셀 잠금 화면의 보안 결함을 악용한 사례
기사 이름
해커가 구글 픽셀 잠금 화면의 보안 결함을 악용한 사례
설명
보안 연구원 데이비드 슈츠는 Google Pixel 잠금 화면 우회 해킹을 발견한 후 7만 달러의 버그 현상금을 받았습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기