Небезпечний обхід блокування екрана заміни SIM-карти – оновіть Android зараз!

Мисливець за головами на помилок Девід Шютц щойно опублікував детальний звіт описуючи, як він схрещував шпаги з Google протягом кількох місяців щодо, на його думку, небезпечної діри в безпеці Android.

За словами Шютца, він абсолютно випадково натрапив на помилку повного обходу блокування екрана Android у червні 2022 року, у реальних умовах, які легко могли статися з будь-ким.

Іншими словами, було розумно припустити, що інші люди можуть дізнатися про недолік, не навмисно шукаючи помилки, що робить його відкриття та публічне оприлюднення (або приватне зловживання) як діру нульового дня набагато ймовірнішим, ніж зазвичай.

На жаль, він не був виправлений до листопада 2022 року, тому він розкрив це лише зараз.

Несподіваний розряд батареї

Простіше кажучи, він знайшов помилку, тому що забув вимкнути або зарядити свій телефон перед тим, як вирушити в довгу подорож, залишивши пристрій непоміченим, коли він був у дорозі.

За словами Шютца, він поспішав надіслати кілька повідомлень після того, як повернувся додому (ми припускаємо, що він був у літаку), а в батареї ще залишилася крихітна кількість заряду…

…коли телефон загинув.

Ми всі були там, шукали зарядний пристрій або резервну батарею, щоб перезавантажити телефон, щоб люди знали, що ми безпечно прибули, чекаємо на отримання багажу, дісталися залізничного вокзалу, очікуємо повернутися додому через 45 хвилин, може зупинитися в магазинах, якщо комусь щось терміново потрібно, або що ми маємо сказати.

І всі ми стикалися з паролями та PIN-кодами, коли поспішали, особливо якщо це коди, які ми рідко використовуємо і ніколи не розвинули «м’язову пам’ять» для введення.

У випадку Шютца його збентежив скромний PIN-код на його SIM-картці, а оскільки PIN-код SIM-карти може складатися з чотирьох цифр, він захищений апаратним блокуванням, яке обмежує вас максимум трьома вгадками. (Ми були там, зробили це, заблокувалися.)

Після цього вам потрібно ввести 10-значний «основний PIN-код», відомий як PUK, скорочення від персональний ключ розблокування, яка зазвичай друкується всередині упаковки, у якій продається SIM-карта, що робить її значною мірою захищеною від підробки.

А для захисту від атак підбору PUK SIM-карта автоматично спрацьовує після 10 неправильних спроб і потребує заміни, що зазвичай означає звернення до магазину мобільних телефонів із ідентифікацією.

Що я зробив з цією упаковкою?

На щастя, оскільки без нього він не знайшов би помилку, Шютц знайшов оригінальну упаковку SIM-карти, сховану десь у шафі, видряпав захисну смужку, яка приховує PUK, і ввів її.

У цей момент, враховуючи, що він запускав телефон після того, як він розрядився, він мав побачити екран блокування телефону, який вимагав від нього ввести код розблокування телефону…

…але натомість він зрозумів, що це так на неправильному екрані блокування, тому що він пропонував йому можливість розблокувати пристрій, використовуючи лише відбиток пальця.

Це має відбуватися, лише якщо ваш телефон блокується під час звичайного використання, і не має відбуватися після вимкнення та перезавантаження, коли виконується повна повторна автентифікація пароля (або один із тих «кодів шаблону», щоб розблокувати, проведіть пальцем ) слід виконувати.

Чи справді на вашому екрані блокування є «замок»?

Як ви, мабуть, знаєте з багато разів ми вже написано о помилки блокування екрана за роки На Naked Security проблема зі словом «заблокувати» на екрані блокування полягає в тому, що це просто невдала метафора, щоб показати, наскільки складним є код, який керує процесом «блокування» та «розблокування» сучасних телефонів.

Сучасний мобільний локскрін трохи схожий на вхідні двері будинку, які мають якісний замок на засув…

…але також має поштову скриньку (отвір для пошти), скляні панелі, що пропускають світло, клапан для котів, надійний пружинний замок, на який ви навчилися покладатися, оскільки засув викликає невеликі клопоти, і зовнішній бездротовий дверний дзвінок/ камеру безпеки, яку легко вкрасти, навіть якщо вона містить ваш пароль Wi-Fi у відкритому вигляді та останні 60 хвилин записаного відео.

О, і, в деяких випадках, навіть у безпечних на вигляд вхідних дверях ключі все одно будуть «заховані» під дверним килимком, і це майже така ситуація, в якій опинився Шютц на своєму телефоні Android.

Карта звивистих шляхів

Сучасні екрани блокування телефону призначені не стільки для блокування телефону, скільки для обмеження режимів роботи ваших програм.

Це зазвичай залишає вам і вашим програмам доступ до великої кількості функцій «особливих випадків», як-от активація камери без розблокування або відображення підібраного набору сповіщень або рядків тем електронних листів, де будь-хто може їх побачити без пароль.

Те, на що Шютц натрапив у абсолютно без винятку послідовності операцій, була помилка в тому, що на жаргоні називається екраном блокування державна машина.

Кінцевий автомат — це свого роду графік або карта умов, у яких може перебувати програма, разом із законними способами, за допомогою яких програма може переходити з одного стану в інший, наприклад мережеве з’єднання перемикається з «прослуховування» на « підключено», а потім із «підключено» на «перевірено», або екран телефону перемикається з «заблоковано» на «розблоковується відбитком пальця» або «розблоковується, але лише за допомогою пароля».

Як ви можете собі уявити, автомати стану для складних завдань швидко ускладнюються, і карта різних легальних шляхів з одного стану в інший може закінчитися повною поворотів і поворотів…

…і іноді екзотичні таємні проходи, які ніхто не помітив під час тестування.

Дійсно, Шютц зміг використати своє ненавмисне відкриття PUK-код у загальний обхід блокування екрана, за допомогою якого будь-хто, хто підняв (чи вкрав, чи іншим чином мав короткий доступ до) заблокованого пристрою Android, міг обманом перевести його в розблокований стан, озброєний нічим іншим, як нову власну сім-карту та скріпку.

Якщо вам цікаво, канцелярська скріпка призначена для витягування SIM-картки, яка вже є в телефоні, щоб ви могли вставити нову SIM-картку та обманом перевести телефон у стан «Мені потрібно запитати PIN-код для цієї нової SIM-картки з міркувань безпеки». Шютц зізнається, що коли він пішов до офісу Google, щоб продемонструвати хак, ні в кого не було належного виштовхувача SIM-карти, тож вони спочатку спробували голку, якою Шютц зумів уколоти себе, а потім з позиченою сережкою. Ми підозрюємо, що спочатку тицьнути голкою в вістря не спрацювало (важко влучити в виштовхувальний штифт крихітним вістрям), тому він вирішив ризикнути використати голку вістрям назовні, «будучи дуже обережним», таким чином перетворивши спробу злому на буквальну рубати. (Ми були там, зробили це, вдарили себе в кінчик пальця.)

Ігри системи з новою SIM-картою

Враховуючи, що зловмисник знає як PIN-код, так і PUK-код нової SIM-карти, він може навмисно помилитися PIN-кодом три рази, а потім негайно отримати правильний PUK-код, таким чином навмисно примусово перевівши автомат блокування екрана в небезпечний стан, який Шютц виявив випадково.

Вибравши правильний час, Шютц виявив, що він міг не лише перейти на сторінку розблокування відбитків пальців, коли вона не мала з’являтися, але й обманом змусити телефон прийняти успішне розблокування PUK як сигнал для відхилення екрана відбитків пальців. і «підтвердити» весь процес розблокування ніби він ввів повний код блокування телефону.

Розблокуйте обхід!

На жаль, більша частина статті Шютца описує час, який знадобився Google, щоб відреагувати на цю вразливість і виправити її, навіть після того, як власні інженери компанії вирішили, що помилка справді повторюється та може використовуватися.

Як сказав сам Шютц:

Це була найбільш вражаюча вразливість, яку я коли-небудь знайшов, і для мене вона перетнула межу, коли я справді почав турбуватися про терміни виправлення та навіть про те, щоб тримати це як «таємницю». Можливо, я перебільшую, але я маю на увазі, що не так давно ФБР боролося з Apple майже за те саме.

Затримки розкриття

Враховуючи ставлення Google до розкриття помилок, її власна команда Project Zero, як відомо, твердо налаштована на необхідність встановлення суворого часу розкриття та дотримуйся їх, ви могли очікувати, що компанія дотримуватиметься своїх правил 90 днів плюс 14 додаткових у особливих випадках.

Але, за словами Шютца, Google не змогла в цьому випадку впоратися з цим.

Очевидно, він погодив дату в жовтні 2022 року, до якої він планував публічно оприлюднити помилку, як він це зробив зараз, що, здається, достатньо часу для помилки, яку він виявив ще в червні 2022 року.

Але Google пропустив жовтневий термін.

Виправлення недоліку з номером помилки CVE-2022-20465 нарешті з’явилося в пакетах патчів безпеки Android за листопад 2022 року, датованих 2022 листопада 11 року, з Google з описом виправлення як: «Не скидати блокування клавіатури після розблокування SIM-карти PUK».

З технічної точки зору помилка полягала в тому, що відомо a стан перегонів, де частина операційної системи, яка спостерігала за процесом введення PUK, щоб відстежувати питання «чи безпечно зараз розблокувати SIM?» держава в кінцевому підсумку видала сигнал про успіх, який перевершив код, який одночасно відстежував «чи безпечно розблокувати весь пристрій?»

Тим не менш, Шютц тепер значно багатший завдяки виплаті Google за помилки (його звіт свідчить, що він сподівався на 100,000 70,000 доларів, але врешті-решт йому довелося погодитися на XNUMX XNUMX доларів).

І він відклав розкриття помилки після крайнього терміну 15 жовтня 2022 року, визнаючи, що обережність іноді є кращою частиною доблесті, сказавши:

Я [був] надто наляканий, щоб фактично висвітлити помилку в реальному часі, і оскільки до виправлення залишилося менше місяця, це все одно було того не варте. Я вирішив дочекатися виправлення.

Що ж робити?

Переконайтеся, що ваш Android оновлений: Налаштування > Безпека > Оновлення безпеки > Перевірити оновлення.

Зазначимо, що коли ми відвідали с Оновлення безпеки Android сміливо заявив, що деякий час не користувався нашим телефоном Pixel Ваша система оновлена, показуючи, що він автоматично перевірив хвилину або близько того, але все одно повідомляє нам, що ми на October 5, 2022 оновлення безпеки.

Ми примусово провели нову перевірку оновлень вручну, і нам негайно повідомили Підготовка оновлення системи…, потім коротке завантаження, тривалий підготовчий етап, а потім запит на перезавантаження.

Після перезавантаження ми досягли November 5, 2022 рівень патча.

Потім ми повернулися і зробили ще один Перевірити оновлення щоб підтвердити відсутність виправлень.

---

Ми використовували Налаштування > Безпека > Оновлення безпеки щоб перейти на сторінку примусового завантаження:

---

Повідомлена дата здавалася неправильною, тому ми змусили Android це зробити Перевірити оновлення все одно:

---

Справді було оновлення для встановлення:

---

Замість того, щоб чекати, ми використовували Резюме продовжити відразу:

---

Послідував тривалий процес оновлення:

---

Ми зробили ще один Перевірити оновлення щоб підтвердити, що ми були там:

---