구글 픽셀폰에서 발견된 취약점...발견자에게 7만 달러 상금 수여돼

요약 : 보안 외신 해커뉴스에 의하면 구글 픽셀폰의 잠금화면을 임의로 푸는 데 성공한 보안 전문가가 7만 달러의 상금을 받았다고 한다. 이 보안 전문가는 데이비드 슈츠(David Schutz)라는 인물로, CVE-2022-20465라는 취약점을 통해 잠금화면 해제에 성공했다고 한다. 이 취약점은 고위험군으로 분류됐으며, 지난 11월 안드로이드 월별 패치를 통해 픽스된 바 있다. 이 취약점이 구글에 제보된 건 지난 6월의 일이다. 익스플로잇을 위해서는 픽셀폰에 물리적으로 접근할 수 있어야 한다.


[이미지 = utoimage]

배경 : 공격자는 화면이 잠겨진 픽셀폰에 접근해서 여섯 가지 행동을 순서대로 실시하면 화면이 풀린다는 사실을 발견했다. 잘못된 지문을 세 번 연속 인식시켜서 생체 인증 기능을 비활성화시키는 것부터 시작한다. 모든 과정은 유튜브 영상 ‘Pixel 6 Full Lockscreen Bypass POC’이라는 이름으로 공개되어 있다.

말말말 : “제가 발견한 방법 때문에 구글에서 대대적으로 코드까지 변경할 줄은 몰랐습니다.” -데이비드 슈츠-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>