En bug dusørjæger ved navn David Schütz har netop udgivet en detaljeret rapport beskriver, hvordan han krydsede sværd med Google i flere måneder over, hvad han betragtede som et farligt Android-sikkerhedshul.
Ifølge Schütz faldt han over en total Android-låseskærm-bypass-fejl helt ved et uheld i juni 2022, under virkelige forhold, der nemt kunne være sket for enhver.
Med andre ord var det rimeligt at antage, at andre mennesker kunne finde ud af fejlen uden bevidst at gå på jagt efter fejl, hvilket gør opdagelsen og offentlighedens offentliggørelse (eller privat misbrug) som et nul-dages hul meget mere sandsynligt end normalt.
Desværre blev det ikke rettet før i november 2022, hvorfor han først har afsløret det nu.
En serenditisk batteriafbrydelse
Kort sagt fandt han fejlen, fordi han glemte at slukke eller oplade sin telefon, før han tog afsted på en længere rejse, og efterlod enheden til at løbe tør for juice ubemærket, mens han var på vejen.
Ifølge Schütz skyndte han sig at sende nogle beskeder efter at være kommet hjem (vi gætter på, at han havde været på et fly) med den lille mængde strøm, der stadig var tilbage i batteriet...
… da telefonen døde.
Vi har alle været der og søgt efter en oplader eller en backup-batteripakke for at få telefonen genstartet for at lade folk vide, at vi er ankommet sikkert, venter på at hente bagage, er nået til togstationen, forventer at komme hjem om 45 minutter, kunne stoppe i butikkerne, hvis nogen akut har brug for noget, eller hvad vi nu har at sige.
Og vi har alle kæmpet med adgangskoder og pinkoder, når vi har travlt, især hvis det er koder, som vi sjældent bruger og aldrig har udviklet "muskelhukommelse" til at indtaste.
I Schützs tilfælde var det den ydmyge PIN-kode på hans SIM-kort, der slog ham, og fordi SIM-PIN-koder kan være så korte som fire cifre, er de beskyttet af en hardware-lockout, der begrænser dig til højst tre gæt. (Vi har været der, gjort det, låst os ude.)
Derefter skal du indtaste en 10-cifret "master PIN", kendt som PUK, en forkortelse for personlig ophævelsesnøgle, som normalt er trykt inde i emballagen, som SIM-kortet sælges i, hvilket gør det stort set manipulationssikkert.
Og for at beskytte mod PUK-gætteangreb friter SIM-kortet sig automatisk efter 10 forkerte forsøg og skal udskiftes, hvilket typisk betyder, at man fronter op til en mobiltelefonbutik med identifikation.
Hvad gjorde jeg med den emballage?
Heldigvis, fordi han ikke ville have fundet fejlen uden den, fandt Schütz den originale SIM-emballage gemt et sted i et skab, ridsede beskyttelsesstrimlen af, der skjuler PUK-koden, og skrev den ind.
På dette tidspunkt, da han var i gang med at starte telefonen op, efter at den løb tør for strøm, burde han have set telefonens låseskærm kræve, at han skulle indtaste telefonens oplåsningskode...
…men i stedet indså han, at han var det på den forkerte slags låseskærm, fordi det gav ham en chance for at låse enheden op ved kun at bruge sit fingeraftryk.
Det formodes kun at ske, hvis din telefon låser, mens den er i regelmæssig brug, og det er ikke meningen, at det skal ske efter en sluk-og-genstart, når en fuld adgangskode-genautentificering (eller en af disse "mønsterkoder" med stryg for at låse op. ) bør håndhæves.
Er der virkelig en "lås" på din låseskærm?
Som du sikkert ved fra mange gange vi har skrevet om fejl på låseskærmen i årenes løb på Naked Security er problemet med ordet "lås" i låseskærmen, at det simpelthen ikke er en god metafor til at repræsentere, hvor kompleks koden er, der styrer processen med at "låse" og "låse op" moderne telefoner.
En moderne mobil låseskærm er lidt som en husdør, der har en låselås af anstændig kvalitet monteret...
…men har også en postkasse (poståbning), glaspaneler til at lukke lys ind, en kattelem, en fjederlås, som du har lært at stole på, fordi låsen er lidt besværlig, og en ekstern trådløs dørklokke/ sikkerhedskamera, der er nemt at stjæle, selvom det indeholder din Wi-Fi-adgangskode i klartekst og de sidste 60 minutters videooptagelser, det har optaget.
Åh, og i nogle tilfælde vil selv en sikker hoveddør have nøglerne "gemt" under dørmåtten alligevel, hvilket stort set er den situation, som Schütz befandt sig i på sin Android-telefon.
Et kort over snoede gange
Moderne telefonlåseskærme handler ikke så meget om at låse din telefon som at begrænse dine apps til begrænsede driftstilstande.
Dette efterlader typisk dig og dine apps med låseskærmsadgang til en bred vifte af "specielle tilfælde"-funktioner, såsom aktivering af kameraet uden at låse op, eller dukker et udvalgt sæt meddelelser eller e-mail-emnelinjer op, hvor alle kunne se dem uden adgangskoden.
Det, Schütz var stødt på i en helt usædvanlig rækkefølge af operationer, var en fejl i det, der i jargonen kaldes låseskærmen tilstand maskine.
En tilstandsmaskine er en slags graf eller kort over de forhold, som et program kan være i, sammen med de lovlige måder, som programmet kan flytte fra en tilstand til en anden, såsom en netværksforbindelse, der skifter fra "lytte" til " tilsluttet", og derefter fra "forbundet" til "verificeret", eller en telefonskærm, der skifter fra "låst" enten til "oplåselig med fingeraftryk" eller til "oplåselig, men kun med en adgangskode".
Som du kan forestille dig, bliver statsmaskiner til komplekse opgaver hurtigt selv komplicerede, og kortet over forskellige juridiske veje fra en stat til en anden kan ende med at være fuld af drejninger...
…og nogle gange eksotiske hemmelige gange, som ingen lagde mærke til under testen.
Faktisk var Schütz i stand til at omforme sin utilsigtede PUK-opdagelse i en generisk låseskærm-bypass, hvorved enhver, der hentede (eller stjal eller på anden måde havde kort adgang til) en låst Android-enhed, kunne narre den ind i den ulåste tilstand bevæbnet med intet mere end en deres eget SIM-kort og en papirclips.
Hvis du undrer dig, skal papirclipsen skubbe SIM-kortet ud, der allerede er i telefonen, så du kan indsætte det nye SIM-kort og narre telefonen til tilstanden "Jeg skal anmode om PIN-koden til dette nye SIM-kort af sikkerhedsmæssige årsager". Schütz indrømmer, at da han gik på Googles kontorer for at demonstrere hacket, var der ingen, der havde en ordentlig SIM-udkaster, så de forsøgte først med en nål, som Schütz nåede at stikke sig selv med, inden det lykkedes med en lånt ørering. Vi har mistanke om, at det ikke virkede at stikke nålen i spidsen først (det er svært at ramme ejektorstiften med en lille spids), så han besluttede at risikere at bruge den spids udad, mens han "værede virkelig forsigtig", og dermed forvandlede et hackingforsøg til et bogstaveligt tal. hacke. (Vi har været der, gjort det, strakt os selv i fingerspidsen.)
Spil systemet med et nyt SIM
I betragtning af, at angriberen kender både PIN-koden og PUK-koden for det nye SIM-kort, kan de bevidst få PIN-koden forkert tre gange og derefter straks få PUK-koden rigtig, og dermed bevidst tvinge låseskærmens tilstandsmaskine ind i den usikre tilstand, som Schütz opdagede ved et uheld.
Med den rigtige timing fandt Schütz ud af, at han ikke kun kunne lande på fingeraftryksoplåsningssiden, når den ikke skulle vises, men også narre telefonen til at acceptere den vellykkede PUK-oplåsning som et signal om at afvise fingeraftryksskærmen og "valider" hele oplåsningsprocessen som om han havde indtastet telefonens fulde låsekode.
Lås bypass op!
Desværre beskriver meget af Schütz's artikel, hvor lang tid det tog Google at reagere på og rette denne sårbarhed, selv efter at virksomhedens egne ingeniører havde besluttet, at fejlen faktisk kunne gentages og udnyttes.
Som Schütz selv udtrykte det:
Dette var den mest virkningsfulde sårbarhed, jeg har fundet endnu, og det krydsede en grænse for mig, hvor jeg virkelig begyndte at bekymre mig om rettelsestidslinjen og endda bare om at holde den som en "hemmelighed" selv. Jeg overreagerer måske, men jeg mener for ikke så længe siden, at FBI kæmpede med Apple om næsten det samme.
forsinkelser i offentliggørelsen
I betragtning af Googles holdning til afsløringer af fejl, med sit eget Project Zero-team, der er notorisk fast på behovet for at fastsætte strenge afsløringstider og holde sig til dem, havde du måske forventet, at virksomheden ville holde sig til sine 90-dage-plus-14-ekstra-i-specielle-tilfælde-regler.
Men ifølge Schütz kunne Google ikke klare det i dette tilfælde.
Tilsyneladende havde han aftalt en dato i oktober 2022, hvor han planlagde at afsløre fejlen offentligt, som han nu har gjort, hvilket virker som masser af tid til en fejl, han opdagede tilbage i juni 2022.
Men Google missede den oktoberdeadline.
Patchen til fejlen, betegnet fejlnummer CVE-2022-20465, dukkede endelig op i Androids sikkerhedsrettelser fra november 2022, dateret 2022-11-05, med Google beskriver rettelsen som: "Afvis ikke tastaturlås efter SIM PUK-låsning."
I tekniske termer var fejlen det, der er kendt løbets tilstand, hvor den del af operativsystemet, der så PUK-indtastningsprocessen for at holde styr på "er det sikkert at låse SIM-kortet op nu?" tilstand endte med at producere et successignal, der overtrumfede koden, der samtidig holdt styr på "er det sikkert at låse hele enheden op?"
Alligevel er Schütz nu betydeligt rigere takket være Googles bug-bounty-udbetaling (hans rapport antyder, at han håbede på $100,000, men han måtte nøjes med $70,000 til sidst).
Og han holdt ud med at afsløre fejlen efter deadline den 15. oktober 2022, idet han accepterede, at diskretion er den til tider bedre del af tapperhed, idet han sagde:
Jeg [var] for bange til rent faktisk at udsætte live-fejlen, og da rettelsen var mindre end en måned væk, var det alligevel ikke det værd. Jeg besluttede at vente på rettelsen.
Hvad skal jeg gøre?
Tjek, at din Android er opdateret: Indstillinger > Sikkerhed > Sikkerhedsopdatering > Søg efter opdatering.
Bemærk, at da vi besøgte Sikkerhedsopdatering skærm, efter at have ikke brugt vores Pixel-telefon i et stykke tid, forkyndte Android dristigt Dit system er opdateret, som viste, at den havde tjekket automatisk et minut eller deromkring tidligere, men stadig fortalte os, at vi var på October 5, 2022 sikkerhedsopdatering.
Vi gennemtvang et nyt opdateringstjek manuelt og fik straks besked Forbereder systemopdatering..., efterfulgt af en kort download, en lang forberedelsesfase og derefter en genstartsanmodning.
Efter genstart havde vi nået November 5, 2022 patch niveau.
Så gik vi tilbage og gjorde en mere Søg efter opdatering for at bekræfte, at der ikke var nogen udestående rettelser.
Vi brugte Indstillinger > Sikkerhed > Sikkerhedsopdatering for at komme til force-a-download-siden:
Den rapporterede dato virkede forkert, så vi tvang Android til det Søg efter opdatering alligevel:
Der var faktisk en opdatering at installere:
I stedet for at vente brugte vi CV for at fortsætte med det samme:
En længere opdateringsproces fulgte:
Vi gjorde en mere Søg efter opdatering for at bekræfte, at vi var der:
- android
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- CVE-2022-20465
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacking
- Kaspersky
- pypass med låseskærm
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- JA
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep115: True crime stories – A day in the life of a cybercrime fighter [Audio + Text] PlatoBlockchain Data Intelligence. Vertical Search. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: True crime stories – En dag i en cyberkriminalitetsbekæmpers liv [Lyd + Tekst]")
