Bug palkkionmetsästäjä nimeltä David Schütz on juuri julkaissut a yksityiskohtainen raportti kuvailee, kuinka hän risteili Googlen kanssa useiden kuukausien ajan vaarallisena Android-tietoturva-aukon takia.
Schützin mukaan hän törmäsi täydelliseen Android-lukitusnäytön ohitusvirheeseen täysin vahingossa kesäkuussa 2022 todellisissa olosuhteissa, mikä olisi helposti voinut tapahtua kenelle tahansa.
Toisin sanoen oli perusteltua olettaa, että muut ihmiset saattoivat saada selville virheestä ilman, että ryhdyivät tietoisesti etsimään vikoja, mikä teki sen löytämisestä ja julkisuudesta (tai yksityisestä hyväksikäytöstä) nollapäivän aukona tavallista todennäköisemmin.
Valitettavasti se korjattiin vasta marraskuussa 2022, minkä vuoksi hän on paljastanut sen vasta nyt.
Järkyttävä akkukatkos
Yksinkertaisesti sanottuna hän löysi vian, koska hän unohti sammuttaa tai ladata puhelimensa ennen pitkää matkaa, jolloin laitteen mehu loppui huomaamatta hänen ollessaan tiellä.
Schützin mukaan hän ryntäsi lähettämään viestejä kotiin palattuaan (olemme hänen olleen lentokoneessa), kun akussa oli vielä vähän virtaa jäljellä…
...kun puhelin kuoli.
Olemme kaikki olleet siellä etsimässä laturia tai vara-akkua saadaksemme puhelimen uudelleenkäynnistyksen, jotta ihmiset tietävät, että olemme saapuneet turvallisesti, odottavat matkatavaroiden noutoa, olemme saapuneet rautatieasemalle, odotamme pääsevämme kotiin 45 minuutissa, voisi pysähtyä kaupoissa, jos joku tarvitsee kiireellisesti jotain tai mitä tahansa meillä on sanottavaa.
Ja olemme kaikki kamppailleet salasanojen ja PIN-koodien kanssa, kun meillä on kiire, varsinkin jos ne ovat koodeja, joita käytämme harvoin eivätkä koskaan kehittäneet "lihasmuistia" kirjoittamiseen.
Schützin tapauksessa SIM-kortin vaatimaton PIN-koodi järkytti hänet, ja koska SIM-kortin PIN-koodit voivat olla niin lyhyitä kuin neljä numeroa, ne on suojattu laitteistosulkulla, joka rajoittaa sinut enintään kolmeen arvaukseen. (Olemme olleet siellä, tehneet sen, sulkeneet itsemme pois.)
Sen jälkeen sinun on syötettävä 10-numeroinen "pää-PIN", joka tunnetaan nimellä PUK, lyhenne sanoista henkilökohtainen lukituksen poistoavain, joka on yleensä painettu pakkaukseen, jossa SIM-kortti myydään, mikä tekee siitä suurelta osin suojan.
Ja suojautuakseen PUK-arvaushyökkäyksiltä SIM-kortti paistaa itsensä automaattisesti 10 väärän yrityksen jälkeen, ja se on vaihdettava, mikä yleensä tarkoittaa matkapuhelinliikkeen etenemistä tunnistautumisen kanssa.
Mitä tein tälle pakkaukselle?
Onneksi, koska hän ei olisi löytänyt vikaa ilman sitä, Schütz löysi alkuperäisen SIM-pakkauksen piilotettuna jonnekin kaappiin, raapi pois suojanauhan, joka peitti PUK-koodin, ja kirjoitti sen sisään.
Tässä vaiheessa, koska hän oli käynnistämässä puhelinta sen virran loppumisen jälkeen, hänen olisi pitänyt nähdä puhelimen lukitusnäyttö, joka vaatii häntä kirjoittamaan puhelimen lukituksen avauskoodin…
…mutta sen sijaan hän tajusi olevansa väärällä lukitusnäytöllä, koska se tarjosi hänelle mahdollisuuden avata laitteen lukitus käyttämällä vain sormenjälkeään.
Tämän pitäisi tapahtua vain, jos puhelimesi lukittuu säännöllisen käytön aikana, eikä sen pitäisi tapahtua virran katkaisun ja uudelleenkäynnistyksen jälkeen, kun täysi salasana todennetaan uudelleen (tai jokin niistä pyyhkäisemällä avata "mallikoodeja" ) olisi pantava täytäntöön.
Onko lukitusnäytössäsi todella "lukko"?
Kuten luultavasti tiedät monta kertaa olemme kirjoitettu lukitusnäytön vikoja vuosien saatossa Naked Securityssa ongelma sanan "lukitus" kanssa lukitusnäytössä on, että se ei yksinkertaisesti ole hyvä metafora kuvaamaan kuinka monimutkainen koodi on, joka hallitsee nykyaikaisten puhelimien "lukitsemista" ja "lukituksen avaamista".
Moderni mobiililukitusnäyttö on vähän kuin talon etuovi, johon on asennettu laadukas salpalukitus…
…mutta siinä on myös postilaatikko (postipaikka), lasipaneelit valon päästämiseksi sisään, kissan läppä, avattava jousilukko, johon olet oppinut luottamaan, koska salpa on vähän vaivalloista, ja ulkoinen langaton ovikello/ turvakamera, joka on helppo varastaa, vaikka se sisältää Wi-Fi-salasanasi selkeänä tekstinä ja viimeiset 60 minuuttia sen tallentamaa videomateriaalia.
Niin, ja joissain tapauksissa jopa turvallisen näköisessä ulko-ovessa avaimet ovat joka tapauksessa "piilossa" kynnysmaton alle, mikä on melko lailla tilanne, johon Schütz joutui Android-puhelimellaan.
Kartta mutkaisista käytävistä
Nykyaikaiset puhelimen lukitusnäytöt eivät tarkoita niinkään puhelimen lukitsemista kuin sovellusten rajoittamista rajoitettuihin toimintatapoihin.
Tämä jättää yleensä sinulle ja sovelluksille pääsyn lukitusnäyttöön lukuisiin "erikoistapaus"-ominaisuuksiin, kuten kameran aktivoimiseen ilman lukituksen avaamista tai valikoidun ilmoituksen tai sähköpostin aiherivien avaamisen, josta kuka tahansa voi nähdä ne ilman. pääsykoodi.
Se mitä Schütz oli törmännyt täysin poikkeuksellisessa toimintosarjassa, oli vika siinä, mitä ammattikielessä kutsutaan lukitusnäytöksi. valtion kone.
Tilakone on eräänlainen kaavio tai kartta olosuhteista, joissa ohjelma voi olla, sekä laillisia tapoja, joilla ohjelma voi siirtyä tilasta toiseen, kuten verkkoyhteyden vaihtaminen "kuuntelusta" "kuuntelutilasta" kytkettynä" ja sitten "yhdistetystä" tilasta "vahvistettu" tai puhelimen näyttö vaihtuu "lukitusta" joko "lukitus avattavissa sormenjäljellä" tai "avattava, mutta vain salasanalla".
Kuten voit kuvitella, monimutkaisten tehtävien tilakoneet monimutkaistuvat nopeasti itsestään, ja kartta eri laillisista poluista osavaltiosta toiseen voi päätyä täynnä käänteitä ja käänteitä…
…ja joskus eksoottisia salaisia käytäviä, joita kukaan ei huomannut testauksen aikana.
Schütz pystyikin muuttamaan tahattoman PUK-löytönsä yleiseksi lukitusnäytön ohitukseksi, jonka avulla jokainen, joka otti (tai varasti tai muutoin sai lyhyen pääsyn) lukitun Android-laitteen, pystyi huijaamaan sen lukitsemattomaan tilaan aseistettuna vain uusi SIM-kortti ja paperiliitin.
Jos mietit, paperiliitin poistaa puhelimessa jo olevan SIM-kortin, jotta voit asettaa uuden SIM-kortin ja huijata puhelimen "Minun on pyydettävä tämän uuden SIM-kortin PIN-koodi turvallisuussyistä" -tilaan. Schütz myöntää, että kun hän meni Googlen toimistoihin esittelemään hakkerointia, kenelläkään ei ollut kunnollista SIM-poistolaitetta, joten he kokeilivat ensin neulaa, jolla Schütz onnistui puukottamaan itseään, ennen kuin onnistui lainatulla korvakorulla. Epäilemme, että neulan pistäminen ensin kärkeen ei toiminut (ejektorin tappiin on vaikea lyödä pienellä kärjellä), joten hän päätti ottaa riskin käyttää sitä ulospäin samalla "olla todella varovainen", jolloin hakkerointiyrityksestä tuli kirjaimellinen. hakata. (Olemme olleet siellä, tehneet sen, pistäneet itsemme sormenpäähän.)
Järjestelmän pelaaminen uudella SIM-kortilla
Koska hyökkääjä tietää sekä uuden SIM-kortin PIN- että PUK-koodin, hän voi tarkoituksella saada PIN-koodin väärin kolme kertaa ja sitten heti saada PUK-koodin oikein, mikä pakottaa lukitusnäytön tilakoneen tarkoituksella turvattomaan tilaan, jonka Schütz löysi vahingossa.
Oikealla ajoituksella Schütz havaitsi, että hän ei vain päässyt sormenjälkien lukituksen avaussivulle, kun sen ei pitänyt näkyä, vaan myös huijata puhelimen hyväksymään onnistuneen PUK-lukituksen signaalina sormenjälkinäytön sulkemiseksi. ja "validoi" koko lukituksen avausprosessi ikään kuin hän olisi kirjoittanut puhelimen täyden suojakoodin.
Avaa ohitus!
Valitettavasti suuri osa Schützin artikkelista kuvaa, kuinka kauan Google kesti reagoida tähän haavoittuvuuteen ja korjata sen, vaikka yrityksen omat insinöörit olivat päättäneet, että virhe todellakin oli toistettavissa ja hyödynnettävissä.
Kuten Schütz itse sanoi:
Tämä oli vaikuttavin haavoittuvuus, jonka olen tähän mennessä löytänyt, ja se ylitti minulle rajan, jossa aloin todella huolehtia korjausaikajanasta ja jopa sen pitämisestä "salaisuudena". Saatan ylireagoida, mutta tarkoitan, että ei niin kauan sitten FBI taisteli Applen kanssa melkein samasta asiasta.
Ilmoittautumisviiveet
Ottaen huomioon Googlen suhtautumisen virheiden paljastamiseen, sen oma Project Zero -tiimi on tunnetusti kiinni tarpeesta asettaa tiukat paljastamisajat ja kiinni niistä, olisit saattanut odottaa, että yritys noudattaa 90 päivää plus 14 erikoistapauksia koskevia sääntöjään.
Mutta Schützin mukaan Google ei voinut hallita sitä tässä tapauksessa.
Ilmeisesti hän oli sopinut lokakuussa 2022 päivämäärän, johon mennessä hän aikoi paljastaa vian julkisesti, kuten hän on nyt tehnyt, mikä näyttää olevan runsaasti aikaa kesäkuussa 2022 löytämästään bugille.
Mutta Google jätti tämän lokakuun määräajan ohi.
Virheen korjaus, virhenumero CVE-2022-20465, ilmestyi vihdoin Androidin marraskuun 2022 tietoturvakorjauksiin, päivätty 2022-11-05 Googlen kanssa. kuvailemalla korjausta kuten: "Älä hylkää näppäinlukkoa SIM-kortin PUK-lukituksen avaamisen jälkeen."
Teknisesti sanottuna vika oli se, mikä tunnetaan a rodun kunto, jossa se käyttöjärjestelmän osa, joka seurasi PUK-koodin syöttöprosessia seuratakseen "Onko SIM-kortin lukitus nyt turvallista?" tila päätyi tuottamaan onnistumissignaalin, joka ohitti koodin, joka samalla piti kirjaa "onko turvallista avata koko laite?"
Silti Schütz on nyt huomattavasti rikkaampi Googlen bugipalkkion ansiosta (hänen raportin mukaan hän toivoi 100,000 70,000 dollaria, mutta hänen täytyi lopulta tyytyä XNUMX XNUMX dollariin).
Ja hän viivytteli virheen paljastamista 15. lokakuuta 2022 asetetun määräajan jälkeen ja myönsi, että harkintavalta on joskus parempi osa urheutta, sanoen:
Olin liian peloissani poistaakseni live-virheen, ja koska korjaus oli alle kuukauden päässä, se ei ollut todellakaan sen arvoista. Päätin odottaa korjausta.
Mitä tehdä?
Tarkista, että Android on ajan tasalla: Asetukset > Turvallisuus > Tietoturvapäivitys > Tarkista päivitykset.
Huomaa, että kun vierailimme Tietoturvapäivitys näytölle, kun ei ollut käyttänyt Pixel-puhelintamme vähään aikaan, Android julisti rohkeasti Järjestelmäsi on ajan tasalla, joka osoittaa, että se oli tarkistanut automaattisesti noin minuuttia aikaisemmin, mutta silti kertoi, että olimme päällä October 5, 2022 tietoturvapäivitys.
Pakotimme uuden päivityksen tarkistuksen manuaalisesti ja meille kerrottiin heti Valmistellaan järjestelmäpäivitystä…, jota seuraa lyhyt lataus, pitkä valmisteluvaihe ja sitten uudelleenkäynnistyspyyntö.
Uudelleenkäynnistyksen jälkeen olimme saavuttaneet November 5, 2022 patch taso.
Sitten menimme takaisin ja teimme vielä yhden Tarkista päivitykset vahvistaakseen, ettei korjauksia ollut vielä jäljellä.
Käytimme Asetukset > Turvallisuus > Tietoturvapäivitys päästäksesi pakottava lataus -sivulle:
Ilmoitettu päivämäärä vaikutti väärältä, joten pakotimme Androidin siihen Tarkista päivitykset joka tapauksessa:
Siellä oli todellakin päivitys asennettavaksi:
Odottamisen sijaan käytimme Jatkaa jatkamaan heti:
Seurasi pitkä päivitysprosessi:
Teimme vielä yhden Tarkista päivitykset vahvistaaksemme, että olimme siellä:
- android
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- CVE-2022-20465
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- hakkerointi
- Kaspersky
- lukitusnäytön pypass
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- KYLLÄ
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep115: Todellisia rikostarinoita – Päivä kyberrikollisuuden taistelijan elämässä [Ääni + teksti] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Todellisia rikostarinoita – päivä kyberrikollisuuden taistelijan elämässä [Ääni + teksti]")
