Un chasseur de bug bounty du nom de David Schütz vient de publier un rapport détaillé décrivant comment il a croisé le fer avec Google pendant plusieurs mois sur ce qu'il considérait comme une dangereuse faille de sécurité Android.
Selon Schütz, il est tombé sur un bogue de contournement total de l'écran de verrouillage Android entièrement par accident en juin 2022, dans des conditions réelles qui auraient facilement pu arriver à n'importe qui.
En d'autres termes, il était raisonnable de supposer que d'autres personnes pourraient découvrir la faille sans chercher délibérément à rechercher des bogues, ce qui rendrait sa découverte et sa divulgation publique (ou son abus privé) beaucoup plus probable que d'habitude.
Malheureusement, il n'a été corrigé qu'en novembre 2022, c'est pourquoi il ne l'a divulgué que maintenant.
Une panne de batterie fortuite
En termes simples, il a trouvé le bogue parce qu'il a oublié d'éteindre ou de recharger son téléphone avant de partir pour un long voyage, laissant l'appareil manquer de jus sans se faire remarquer pendant qu'il était sur la route.
Selon Schütz, il se précipitait pour envoyer des messages après être rentré chez lui (on suppose qu'il était dans un avion) avec la petite quantité d'énergie restant dans la batterie…
…quand le téléphone est mort.
Nous sommes tous passés par là, à la recherche d'un chargeur ou d'une batterie de secours pour faire redémarrer le téléphone afin de faire savoir aux gens que nous sommes arrivés en toute sécurité, que nous attendons à la récupération des bagages, que nous avons atteint la gare, que nous espérons rentrer chez nous dans 45 minutes, pourrait s'arrêter dans les magasins si quelqu'un a un besoin urgent de quoi que ce soit, ou quoi que nous ayons à dire.
Et nous avons tous eu du mal avec les mots de passe et les codes PIN lorsque nous sommes pressés, surtout s'il s'agit de codes que nous utilisons rarement et que nous n'avons jamais développé de "mémoire musculaire" pour taper.
Dans le cas de Schütz, c'est l'humble code PIN sur sa carte SIM qui l'a laissé perplexe, et comme les codes PIN SIM peuvent être aussi courts que quatre chiffres, ils sont protégés par un verrouillage matériel qui vous limite à trois suppositions au maximum. (Nous avons été là, fait cela, nous sommes enfermés.)
Après cela, vous devez entrer un « code PIN principal » à 10 chiffres connu sous le nom de PUK, abréviation de clé de déblocage personnelle, qui est généralement imprimé à l'intérieur de l'emballage dans lequel la carte SIM est vendue, ce qui la rend largement inviolable.
Et pour se protéger contre les attaques de devinettes PUK, la carte SIM se grille automatiquement après 10 tentatives erronées et doit être remplacée, ce qui signifie généralement se présenter à un magasin de téléphonie mobile avec identification.
Qu'est-ce que j'ai fait de cet emballage ?
Heureusement, parce qu'il n'aurait pas trouvé le bogue sans lui, Schütz a localisé l'emballage d'origine de la carte SIM caché quelque part dans un placard, a gratté la bande de protection qui masque le PUK et l'a tapé.
À ce stade, étant donné qu'il était en train de démarrer le téléphone après une panne de courant, il aurait dû voir l'écran de verrouillage du téléphone lui demander de saisir le code de déverrouillage du téléphone…
… mais, au lieu de cela, il s'est rendu compte qu'il était au mauvais type d'écran de verrouillage, car cela lui offrait une chance de déverrouiller l'appareil en utilisant uniquement son empreinte digitale.
Cela n'est censé se produire que si votre téléphone se verrouille lors d'une utilisation régulière, et n'est pas censé se produire après une mise hors tension et un redémarrage, lorsqu'une réauthentification complète du mot de passe (ou l'un de ces "codes de modèle" à déverrouillage par balayage ) doit être appliqué.
Y a-t-il vraiment un « verrou » dans votre écran de verrouillage ?
Comme vous le savez probablement depuis le plusieurs fois nous avons écrit au sujet de bugs de l'écran de verrouillage au cours des années sur Naked Security, le problème avec le mot "verrouiller" dans l'écran de verrouillage est que ce n'est tout simplement pas une bonne métaphore pour représenter la complexité du code qui gère le processus de "verrouillage" et de "déverrouillage" des téléphones modernes.
Un écran de serrure mobile moderne est un peu comme une porte d'entrée de maison qui a une serrure à pêne dormant de qualité décente…
… mais dispose également d'une boîte aux lettres (fente aux lettres), de panneaux de verre pour laisser entrer la lumière, d'une chatière, d'une serrure à ressort loïdable sur laquelle vous avez appris à compter car le pêne dormant est un peu fastidieux, et d'une sonnette externe sans fil/ caméra de sécurité facile à voler même si elle contient votre mot de passe Wi-Fi en clair et les 60 dernières minutes de séquences vidéo qu'elle a enregistrées.
Oh, et, dans certains cas, même une porte d'entrée d'apparence sécurisée aura de toute façon les clés "cachées" sous le paillasson, ce qui est à peu près la situation dans laquelle Schütz s'est retrouvé sur son téléphone Android.
Une carte des passages sinueux
Les écrans de verrouillage de téléphone modernes ne consistent pas tant à verrouiller votre téléphone qu'à restreindre vos applications à des modes de fonctionnement limités.
Cela vous laisse généralement, ainsi qu'à vos applications, un accès verrouillé à un large éventail de fonctionnalités de "cas spéciaux", telles que l'activation de l'appareil photo sans déverrouillage, ou l'affichage d'un ensemble organisé de messages de notification ou de lignes d'objet d'e-mail où tout le monde peut les voir sans le mot de passe.
Ce que Schütz avait rencontré, dans une séquence d'opérations parfaitement irréprochable, était un défaut de ce que l'on appelle dans le jargon le lockscreen machine d'état.
Une machine à états est une sorte de graphique, ou de carte, des conditions dans lesquelles un programme peut se trouver, ainsi que des moyens légaux par lesquels le programme peut passer d'un état à un autre, comme une connexion réseau passant de "l'écoute" à " connecté", puis de "connecté" à "vérifié", ou un écran de téléphone passant de "verrouillé" soit à "déverrouillable avec empreinte digitale" soit à "déverrouillable mais uniquement avec un mot de passe".
Comme vous pouvez l'imaginer, les machines à états pour des tâches complexes se compliquent rapidement elles-mêmes, et la carte des différentes voies légales d'un état à l'autre peut se retrouver pleine de rebondissements…
… et, parfois, des passages secrets exotiques que personne n'a remarqués lors des tests.
En effet, Schütz a pu transformer sa découverte par inadvertance de PUK en un contournement générique de l'écran de verrouillage par lequel toute personne qui récupérait (ou volait ou avait un bref accès à) un appareil Android verrouillé pouvait le tromper dans l'état déverrouillé armé de rien de plus qu'un nouvelle carte SIM et un trombone.
Au cas où vous vous poseriez la question, le trombone consiste à éjecter la carte SIM déjà dans le téléphone afin que vous puissiez insérer la nouvelle carte SIM et tromper le téléphone dans l'état "J'ai besoin de demander le code PIN pour cette nouvelle carte SIM pour des raisons de sécurité". Schütz admet que lorsqu'il s'est rendu dans les bureaux de Google pour démontrer le piratage, personne n'avait d'éjecteur SIM approprié, alors ils ont d'abord essayé une aiguille, avec laquelle Schütz a réussi à se poignarder, avant de réussir avec une boucle d'oreille empruntée. Nous soupçonnons que le fait d'enfoncer l'aiguille en premier lieu n'a pas fonctionné (il est difficile de frapper l'éjecteur avec une petite pointe), il a donc décidé de risquer de l'utiliser en pointant vers l'extérieur tout en « étant très prudent », transformant ainsi une tentative de piratage en un littéral. pirater. (Nous avons été là, fait cela, nous nous sommes enfoncés dans le bout des doigts.)
Jouer le système avec une nouvelle carte SIM
Étant donné que l'attaquant connaît à la fois le code PIN et le PUK de la nouvelle carte SIM, il peut délibérément se tromper de code PIN trois fois, puis obtenir immédiatement le bon code PUK, forçant ainsi délibérément la machine d'état de l'écran de verrouillage dans l'état non sécurisé que Schütz a découvert accidentellement.
Avec le bon timing, Schütz a découvert qu'il pouvait non seulement atterrir sur la page de déverrouillage des empreintes digitales alors qu'elle n'était pas censée apparaître, mais aussi tromper le téléphone pour qu'il accepte le déverrouillage PUK réussi comme signal pour fermer l'écran d'empreintes digitales. et "valider" l'ensemble du processus de déverrouillage comme s'il avait tapé le code de verrouillage complet du téléphone.
Déverrouillez le contournement !
Malheureusement, une grande partie de l'article de Schütz décrit le temps qu'il a fallu à Google pour réagir et corriger cette vulnérabilité, même après que les propres ingénieurs de l'entreprise eurent décidé que le bogue était effectivement reproductible et exploitable.
Comme l'a dit Schütz lui-même :
C'était la vulnérabilité la plus percutante que j'ai trouvée à ce jour, et elle a franchi une ligne pour moi où j'ai vraiment commencé à m'inquiéter de la chronologie des correctifs et même de la garder moi-même comme un "secret". Je réagis peut-être de manière excessive, mais je veux dire qu'il n'y a pas si longtemps, le FBI se battait avec Apple pour presque la même chose.
Délais de divulgation
Compte tenu de l'attitude de Google à l'égard des divulgations de bogues, avec sa propre équipe Project Zero notoirement ferme sur la nécessité de fixer des délais de divulgation stricts et tenez-vous à eux, vous vous attendiez peut-être à ce que l'entreprise respecte ses règles de 90 jours plus 14 jours supplémentaires dans des cas particuliers.
Mais, selon Schütz, Google n'y parviendrait pas dans ce cas.
Apparemment, il avait convenu d'une date en octobre 2022 à laquelle il prévoyait de divulguer publiquement le bogue, comme il l'a fait maintenant, ce qui semble être beaucoup de temps pour un bogue qu'il a découvert en juin 2022.
Mais Google a raté cette date limite d'octobre.
Le correctif de la faille, désigné numéro de bogue CVE-2022-20465, est finalement apparu dans les correctifs de sécurité d'Android de novembre 2022, datés du 2022-11-05, avec Google décrivant le correctif comme: "Ne fermez pas le clavier après le déverrouillage SIM PUK."
En termes techniques, le bogue était ce que l'on appelle un condition de course, où la partie du système d'exploitation qui surveillait le processus d'entrée PUK pour garder une trace de "est-il sûr de déverrouiller la carte SIM maintenant?" l'état a fini par produire un signal de réussite qui a supplanté le code qui gardait simultanément une trace de "est-il sûr de déverrouiller l'ensemble de l'appareil?"
Pourtant, Schütz est maintenant beaucoup plus riche grâce au paiement de la prime de bogue de Google (son rapport suggère qu'il espérait 100,000 70,000 $, mais il a finalement dû se contenter de XNUMX XNUMX $).
Et il a retardé la divulgation du bogue après la date limite du 15 octobre 2022, acceptant que la discrétion est parfois la meilleure partie de la bravoure, en disant :
J'étais trop effrayé pour sortir le bogue en direct et comme le correctif était dans moins d'un mois, cela n'en valait pas vraiment la peine de toute façon. J'ai décidé d'attendre le correctif.
Que faire?
Vérifiez que votre Android est à jour : Paramètres > Sécurité > Mise à jour de sécurité > Vérifier la mise à jour.
Notez que lorsque nous avons visité le Mise à jour de sécurité écran, n'ayant pas utilisé notre téléphone Pixel depuis un moment, Android a hardiment proclamé Votre système est à jour, montrant qu'il avait vérifié automatiquement environ une minute plus tôt, mais nous indiquant toujours que nous étions sur le October 5, 2022 mise à jour de sécurité.
Nous avons forcé une nouvelle vérification de mise à jour manuellement et on nous a immédiatement dit Préparation de la mise à jour du système…, suivi d'un court téléchargement, d'une longue étape préparatoire, puis d'une demande de redémarrage.
Après le redémarrage, nous avions atteint le November 5, 2022 niveau patch.
Nous sommes ensuite retournés et avons fait un autre Vérifier la mise à jour pour confirmer qu'il n'y avait plus de correctifs en suspens.
Nous avons utilisé Paramètres > Sécurité > Mise à jour de sécurité pour accéder à la page Force-a-download :
La date indiquée semblait erronée, nous avons donc forcé Android à Vérifier la mise à jour en tous cas:
Il y avait bien une mise à jour à installer :
Au lieu d'attendre, nous avons utilisé Reprendre procéder immédiatement :
Un long processus de mise à jour a suivi :
Nous en avons fait un de plus Vérifier la mise à jour pour confirmer que nous y étions :
- android
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- CVE-2022-20465
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- piratage
- Kaspersky
- écran de verrouillage pypass
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- OUI
- VPN
- la sécurité d'un site web
- zéphyrnet
![S3 Ep115 : Histoires vraies de crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115 : Histoires de vrais crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte]")
