Обход опасного экрана блокировки с подменой SIM-карты – обновите Android прямо сейчас!

Охотник за ошибками по имени Дэвид Шютц только что опубликовал подробный отчет описывая, как он скрестил мечи с Google в течение нескольких месяцев из-за того, что он считал опасной дырой в безопасности Android.

По словам Шютца, он совершенно случайно наткнулся на ошибку полного обхода экрана блокировки Android в июне 2022 года в реальных условиях, которые легко могли случиться с кем угодно.

Другими словами, было разумно предположить, что другие люди могут узнать об уязвимости, не преднамеренно начав искать ошибки, что делает ее обнаружение и публичное раскрытие (или частное злоупотребление) как дыру нулевого дня гораздо более вероятным, чем обычно.

К сожалению, он не был исправлен до ноября 2022 года, поэтому он раскрыл его только сейчас.

Ужасное отключение батареи

Проще говоря, он нашел ошибку, потому что забыл выключить или зарядить свой телефон перед тем, как отправиться в длительное путешествие, оставив устройство незамеченным, пока он был в дороге.

По словам Шютца, он спешил отправить несколько сообщений после возвращения домой (мы предполагаем, что он был в самолете) с крошечным количеством энергии, оставшимся в батарее…

…когда телефон разрядился.

Мы все были там, рыскали в поисках зарядного устройства или резервного аккумулятора, чтобы перезагрузить телефон, чтобы люди знали, что мы благополучно прибыли, ждем у выдачи багажа, прибыли на вокзал, рассчитываем вернуться домой через 45 минут, могли бы остановиться в магазинах, если кому-то что-то срочно нужно, или что-то еще, что мы должны сказать.

И мы все боролись с паролями и PIN-кодами, когда мы спешим, особенно если это коды, которые мы редко используем и никогда не развивали «мышечную память» для ввода.

В случае Шютца его поставил в тупик скромный PIN-код на его SIM-карте, а поскольку PIN-коды SIM-карты могут состоять всего из четырех цифр, они защищены аппаратной блокировкой, которая ограничивает вас максимум тремя предположениями. (Мы были там, сделали это, заперлись.)

После этого вам необходимо ввести 10-значный «основной PIN-код», известный как PUK, сокращение от персональный ключ разблокировки, который обычно печатается внутри упаковки, в которой продается SIM-карта, что делает ее в значительной степени защищенной от несанкционированного доступа.

А для защиты от атак с угадыванием PUK SIM-карта автоматически сгорает после 10 неправильных попыток и требует замены, что обычно означает обращение в магазин мобильных телефонов с идентификацией.

Что я сделал с этой упаковкой?

К счастью, поскольку без него он не нашел бы ошибку, Шютц нашел оригинальную упаковку SIM-карты, спрятанную где-то в шкафу, соскоблил защитную полоску, скрывающую PUK-код, и ввел ее.

В этот момент, учитывая, что он запускал телефон после того, как он разрядился, он должен был увидеть экран блокировки телефона, требующий ввести код разблокировки телефона…

…но вместо этого он понял, что на неправильном экране блокировки, потому что это давало ему возможность разблокировать устройство, используя только отпечаток пальца.

Это должно произойти только в том случае, если ваш телефон заблокируется во время обычного использования, и не должно происходить после выключения и перезагрузки, когда полная повторная аутентификация кода доступа (или один из тех «кодов-шаблонов» для разблокировки ) следует соблюдать.

Действительно ли на вашем экране блокировки есть «замок»?

Как вы, наверное, знаете из многократно мы в написано о ошибки экрана блокировки На протяжении многих лет На Naked Security проблема со словом «блокировка» на экране блокировки заключается в том, что это просто неподходящая метафора для представления того, насколько сложен код, управляющий процессом «блокировки» и «разблокировки» современных телефонов.

Современный мобильный экран блокировки немного похож на входную дверь дома, на которой установлен замок с засовом приличного качества…

… но также есть почтовый ящик (отсек для почты), стеклянные панели, пропускающие свет, кошачья откидная створка, откидной пружинный замок, на который вы научились полагаться, потому что засов доставляет немного хлопот, и внешний беспроводной дверной звонок/ камера безопасности, которую легко украсть, даже если она содержит ваш пароль Wi-Fi в открытом виде и последние 60 минут видеозаписи, которую она записала.

Да, и, в некоторых случаях, даже у надежно выглядящей входной двери ключи все равно будут «спрятаны» под ковриком, что в значительной степени похоже на ситуацию, в которой Шютц оказался на своем телефоне Android.

Карта извилистых проходов

Современные экраны блокировки телефона предназначены не столько для блокировки телефона, сколько для ограничения ваших приложений ограниченными режимами работы.

Это, как правило, оставляет вас и ваши приложения с доступом на экране блокировки к множеству функций «особого случая», таких как активация камеры без разблокировки или всплывающее окно кураторского набора сообщений уведомлений или строк темы электронной почты, где любой мог бы их увидеть без пароль.

То, с чем столкнулся Шютц в совершенно безупречной последовательности операций, было ошибкой в ​​том, что на жаргоне известно как экран блокировки. Государственный аппарат.

Конечный автомат — это своего рода граф или карта условий, в которых может находиться программа, а также законных способов перехода программы из одного состояния в другое, таких как переключение сетевого соединения из состояния «прослушивание» в состояние «прослушивание». подключено», а затем с «подключено» на «подтверждено», или экран телефона переключается с «заблокировано» либо на «разблокировка по отпечатку пальца», либо на «разблокировка, но только с кодом доступа».

Как вы можете себе представить, конечные автоматы для сложных задач сами быстро усложняются, и карта различных легальных путей из одного состояния в другое может оказаться полной извилин и поворотов…

…и, иногда, экзотические потайные ходы, которые никто не заметил во время тестирования.

Действительно, Шютц смог превратить свое непреднамеренное обнаружение PUK в общий обход экрана блокировки, с помощью которого любой, кто поднял (или украл, или иным образом имел краткий доступ) заблокированное Android-устройство, мог обманным путем перевести его в разблокированное состояние, вооруженный не чем иным, как новую собственную SIM-карту и скрепку.

Если вам интересно, скрепка предназначена для извлечения SIM-карты, уже находящейся в телефоне, чтобы вы могли вставить новую SIM-карту и перевести телефон в состояние «Мне нужно запросить PIN-код для этой новой SIM-карты по соображениям безопасности». Шютц признает, что, когда он пошел в офис Google, чтобы продемонстрировать взлом, ни у кого не было подходящего устройства для извлечения SIM-карты, поэтому они сначала попробовали иглу, которой Шютц сумел проколоть себя, прежде чем добиться успеха с одолженной серьгой. Мы подозреваем, что первое втыкание иглы в острие не сработало (трудно попасть по выталкивающему штифту крошечным острием), поэтому он решил рискнуть использовать острие наружу, «будучи очень осторожным», тем самым превратив попытку взлома в буквальную атаку. взломать. (Мы были там, сделали это, наткнулись на кончик пальца.)

Игра в систему с новой SIM-картой

Учитывая, что злоумышленник знает и PIN-код, и PUK-код новой SIM-карты, он может преднамеренно ввести неверный PIN-код три раза, а затем сразу же ввести правильный PUK-код, тем самым преднамеренно переводя конечный автомат экрана блокировки в небезопасное состояние, которое случайно обнаружил Шютц.

В правильное время Шютц обнаружил, что он может не только попасть на страницу разблокировки отпечатков пальцев, когда она не должна была появиться, но и обманом заставить телефон принять успешную разблокировку PUK в качестве сигнала для закрытия экрана отпечатков пальцев. и «проверить» весь процесс разблокировки как будто он набрал полный код блокировки телефона.

Разблокировать обход!

К сожалению, большая часть статьи Шютца описывает время, которое потребовалось Google, чтобы отреагировать и исправить эту уязвимость, даже после того, как собственные инженеры компании решили, что ошибка действительно повторяется и может быть использована.

Как выразился сам Шютц:

Это была самая серьезная уязвимость, которую я когда-либо находил, и она пересекла для меня черту, когда я действительно начал беспокоиться о сроках исправления и даже просто о том, чтобы держать это в «секрете». Возможно, я преувеличиваю, но я имею в виду, что не так давно ФБР боролось с Apple почти за одно и то же.

Задержки раскрытия

Учитывая отношение Google к раскрытию информации об ошибках, с его собственной командой Project Zero, печально известной твердостью в необходимости установить строгие сроки раскрытия информации и придерживаться их, вы, возможно, ожидали, что компания будет придерживаться своих правил «90 дней плюс 14 дополнительных в особых случаях».

Но, по словам Шютца, в данном случае Google не справился.

Судя по всему, он согласовал дату в октябре 2022 года, к которой он планировал публично раскрыть ошибку, что он и сделал сейчас, что кажется достаточным временем для ошибки, которую он обнаружил еще в июне 2022 года.

Но Google пропустил этот крайний срок в октябре.

Патч для этой уязвимости, получивший номер ошибки CVE-2022-20465, наконец появился в исправлениях безопасности Android от ноября 2022 г., датированных 2022, с Google. описание исправления как: «Не отключать блокировку клавиатуры после разблокировки PUK-кода SIM-карты».

С технической точки зрения, ошибка была известна как состояние гонки, где часть операционной системы, отслеживающая процесс ввода PUK-кода, чтобы отслеживать вопрос «безопасно ли разблокировать SIM-карту сейчас?» состояние закончилось тем, что выдало сигнал об успехе, который превзошел код, который одновременно отслеживал «безопасно ли разблокировать все устройство?»

Тем не менее, Шютц теперь значительно богаче благодаря выплате вознаграждения от Google (в его отчете говорится, что он надеялся на 100,000 70,000 долларов, но в конце концов ему пришлось согласиться на XNUMX XNUMX долларов).

И он действительно воздержался от раскрытия ошибки после крайнего срока 15 октября 2022 года, признав, что осмотрительность иногда является лучшей частью доблести, сказав:

Я [был] слишком напуган, чтобы на самом деле выпустить живую ошибку, и, поскольку до исправления оставалось меньше месяца, оно в любом случае не стоило того. Решил дождаться исправления.

Что делать?

Убедитесь, что ваш Android обновлен: Настройки > Безопасность > обновление для системы безопасности > Проверить обновления.

Обратите внимание, что когда мы посетили обновление для системы безопасности экрана, некоторое время не пользовавшись нашим телефоном Pixel, Android смело провозгласил Ваша система обновлена, показывая, что он автоматически проверил минуту или около того назад, но все еще сообщая нам, что мы находимся на October 5, 2022 обновление безопасности.

Мы принудительно проверили новое обновление вручную, и нам сразу сказали Подготовка обновления системы…, затем короткая загрузка, длительный подготовительный этап, а затем запрос на перезагрузку.

После перезагрузки мы достигли November 5, 2022 уровень патча.

Затем мы вернулись и сделали еще один Проверить обновления чтобы убедиться, что не осталось исправлений.

---

Мы использовали Настройки > Безопасность > обновление для системы безопасности чтобы перейти на страницу принудительной загрузки:

---

Указанная дата казалась неверной, поэтому мы заставили Android Проверить обновления тем не мение:

---

Действительно было обновление для установки:

---

Вместо того, чтобы ждать, мы использовали Продолжить продолжить сразу:

---

Далее последовал длительный процесс обновления:

---

Мы сделали еще один Проверить обновления чтобы подтвердить, что мы были там:

---