기기를 잠그는 PIN과 지문 인증을 모두 피하고 내부 데이터에 액세스할 수 있는 취약성이 구글 픽셀(Google Pixel)에 있었다고 보고됐다. 이 버그는 11월 5일 배포된 보안 업데이트에서 수정됐다.
한 보안 연구자는 이 버그를 수정 5개월 이상 전에 발견했다. 버그 존재로 인해 악의적 공격자가 기기를 잠금 해제할 수 있는 위험이 있었지만 보안 업데이트로 수정됐다. 잠금 해제에는 SIM 카드 잠금을 해제하는 PUK 코드가 필요했지만 절차는 상당히 간단했다.
이 연구자가 버그를 발견한 계기는 자신의 픽셀6 PIN 코드를 우연히 잊어버리면서다. 단말을 재가동한 뒤 코드를 몇 번씩 잘못해서 입력, 단말에 락이 걸렸기 때문에 SIM 카드에 기재된 PUK 코드를 입력하자 화면에는 지문 인증 접수 아이콘이 나왔지만 보통이라면 재가동 직후 지문 인증을 접수하지 않기 때문에 이상하다고 생각했다고 한다.
이 상태에서 지문 인증을 하면 이번에서 재부팅을 했는데 몇 차례 검증을 거듭한 결과 특별한 건 아무 것도 필요 없고 PUK 코드만 있으면 단말 락을 해제할 수 있는 순서를 확립하는데 성공했다. 그는 곧바로 구글에 이를 보고하고 37분 뒤 구글이 버그로 인정했다고 한다. 하지만 이후부터 대응 수준과 빈도가 떨어졌다.
긴급성이 요구되는 중대한 버그라고 생각되는 문제였지만 1개월간 구글로부터 보고가 없었다고 한다. 보고 3개월 가까이 경과해도 진전이 없었기 때문에 그는 자신이 참가하던 구글 이벤트에서 실증 실험을 실시하기도 했다. 그럼에도 수정 패치는 배포되지 않고 결국 보고 5개월이 지난 11월 5일이 되어 해당 취약성 CVE-2022-20465 대응을 포함한 수정 패치가 릴리스됐다.
정식 패치를 분석한 그에 따르면 안드로이드에는 보안 화면이라는 개념이 있으며 PIN 입력 화면, 지문 인증 화면, 비밀번호 입력 화면, PUK 입력 화면 등 여러 잠금 화면을 서로 겹칠 수 있다. 이를 서로 겹칠 수 있지만 특정 순서를 거치면 경합이 일어나 원래 호출될리 없는 화면이 표시되어 단말 락이 해제할 수 있게 되어버렸다는 것이다. 관련 내용은 이곳에서 확인할 수 있다.