一位名叫 David Schütz 的漏洞赏金猎人刚刚发布了一个 详细报告 描述了他如何与谷歌就他认为危险的 Android 安全漏洞进行了几个月的交锋。
根据 Schütz 的说法,他在 2022 年 XNUMX 月完全偶然地发现了一个完全绕过 Android 锁屏的漏洞,在任何人都可能轻易发生的现实生活条件下。
换句话说,可以合理地假设其他人可能会发现该漏洞而无需刻意寻找错误,从而使其发现和公开披露(或私人滥用)成为零日漏洞的可能性比平时大得多。
不幸的是,它直到 2022 年 XNUMX 月才得到修补,这就是他现在才披露它的原因。
意外的电池中断
简而言之,他发现这个错误是因为他在开始长途旅行之前忘记关闭手机或为手机充电,导致设备在旅途中电量不足而没有引起注意。
根据 Schütz 的说法,他在回家后急于发送一些信息(我们猜他是在飞机上),而电池中还剩下微量的电量……
……电话没电了。
我们都去过那里,争先恐后地寻找充电器或备用电池组来重新启动手机,让人们知道我们已经安全到达,在行李提取处等待,已经到达火车站,预计在 45 分钟内到家,如果有人急需任何东西,或者我们要说的任何东西,都可以在商店停下来。
当我们匆忙时,我们都在与密码和 PIN 作斗争,特别是如果它们是我们很少使用并且从未开发出用于输入的“肌肉记忆”的代码。
在 Schütz 的案例中,难倒他的是 SIM 卡上不起眼的 PIN,而且由于 SIM PIN 可以短至四位数字,因此它们受到硬件锁定的保护,最多只能猜测 XNUMX 次。 (我们去过那里,做过,把自己锁在外面。)
之后,您需要输入一个称为 PUK 的 10 位“主 PIN”,简称 个人解锁钥匙,通常印在出售 SIM 卡的包装内,这使得它在很大程度上是防篡改的。
并且为了防止 PUK 猜测攻击,SIM 会在 10 次错误尝试后自动炸毁,需要更换,这通常意味着面对手机店的身份证明。
我用那个包装做了什么?
幸运的是,如果没有它,他就不会发现漏洞,Schütz 找到了藏在橱柜某处的原始 SIM 包装,刮掉了遮住 PUK 的保护条,然后输入了它。
此时,鉴于他正在手机没电后开机,他应该看到手机锁屏要求他输入手机的解锁码……
……但是,相反,他意识到他是 在错误的锁屏上,因为这让他有机会仅使用指纹解锁设备。
只有在您的手机在正常使用时锁定时才会发生这种情况,并且在关闭电源并重新启动后,当完整的密码重新身份验证(或其中一个滑动解锁“模式代码”时)不应该发生这种情况) 应强制执行。
你的锁屏中真的有“锁”吗?
正如您可能从 很多次 我们已经 写了 锁屏错误 这些年来 在 Naked Security 上,锁屏中“锁定”一词的问题在于,它根本不是一个很好的比喻来表示管理“锁定”和“解锁”现代手机过程的代码有多复杂。
现代的移动锁屏有点像房子的前门,上面装有质量不错的插销锁……
......但也有一个信箱(邮筒),让光线进来的玻璃面板,一个猫瓣,一个你已经学会依赖的弹性弹簧锁,因为门栓有点麻烦,还有一个外部无线门铃/即使它包含您的纯文本 Wi-Fi 密码和它录制的最后 60 分钟的视频片段,也很容易被窃取。
哦,而且,在某些情况下,即使是看起来很安全的前门,钥匙也会“藏”在门垫下面,这几乎就是 Schütz 在他的 Android 手机上发现的情况。
曲折的通道地图
现代手机锁屏与其说是锁定您的手机,不如说是将您的应用程序限制为有限的操作模式。
这通常使您和您的应用程序可以通过锁屏访问大量“特殊情况”功能,例如在不解锁的情况下激活相机,或者弹出一组精心策划的通知消息或电子邮件主题行,任何人都可以在没有看到它们的情况下看到它们密码。
Schütz 在一系列完全没有例外的操作中遇到的,是行话中称为锁屏的故障 状态机.
状态机是一种程序可能处于的条件的图形或映射,以及程序可以从一个状态移动到另一个状态的合法方式,例如网络连接从“侦听”切换到“已连接”,然后从“已连接”变为“已验证”,或者手机屏幕从“锁定”切换为“指纹解锁”或“只能使用密码解锁”。
可以想象,用于复杂任务的状态机本身很快就会变得复杂,从一个州到另一个州的不同法律路径的地图最终可能会充满曲折……
……而且,有时,在测试期间没有人注意到的异国情调的秘密通道。
事实上,Schütz 能够将他无意中的 PUK 发现转化为一种通用的锁屏绕过方式,任何人拿起(或偷走或以其他方式短暂访问)锁定的 Android 设备都可以通过这种方式将其诱骗到解锁状态,只需要一个他们自己的新 SIM 卡和一个回形针。
如果您想知道,回形针是弹出手机中已经存在的 SIM 卡,这样您就可以插入新的 SIM 卡并欺骗手机进入“出于安全原因,我需要为这个新的 SIM 卡请求 PIN”状态。 Schütz 承认,当他去 Google 的办公室演示黑客攻击时,没有人有合适的 SIM 弹出器,所以他们首先尝试了一根针,Schütz 设法用针刺了自己,然后用借来的耳环成功了。 我们怀疑先戳针是行不通的(用一个小点很难击中顶针)所以他决定冒险使用它指向外面,同时“非常小心”,从而将黑客攻击变成了字面意思黑客。 (我们去过那里,做到了,触手可及。)
使用新 SIM 卡对系统进行游戏
鉴于攻击者知道新 SIM 的 PIN 和 PUK,他们可以故意将 PIN 错误 XNUMX 次,然后立即将 PUK 正确,从而故意迫使锁屏状态机进入 Schütz 意外发现的不安全状态。
在正确的时机下,Schütz 发现他不仅可以在不应该出现的指纹解锁页面上登陆,还可以欺骗手机接受成功的 PUK 解锁作为关闭指纹屏幕的信号 并“验证”整个解锁过程 就好像他输入了手机的完整锁码一样。
解锁旁路!
不幸的是,Schütz 的大部分文章都描述了谷歌对这个漏洞做出反应和修复这个漏洞所花费的时间,即使公司自己的工程师已经确定这个漏洞确实是可重复和可利用的。
正如舒茨本人所说:
这是迄今为止我发现的最具影响力的漏洞,它越过了我的界限,我真的开始担心修复时间表,甚至只是担心自己将其作为“秘密”。 我可能反应过度了,但我的意思是不久前,联邦调查局还在与苹果公司争夺几乎相同的东西。
披露延迟
鉴于谷歌对漏洞披露的态度,它自己的零项目团队臭名昭著地认为有必要设定严格的披露时间和 坚持他们,您可能已经期望该公司遵守其 90 天加 14 天的特殊情况规则。
但是,根据 Schütz 的说法,谷歌在这种情况下无法管理它。
显然,他已经同意了 2022 年 2022 月的日期,他计划在此日期之前公开披露该漏洞,正如他现在所做的那样,这对于他在 XNUMX 年 XNUMX 月发现的漏洞来说似乎有足够的时间。
但谷歌错过了 XNUMX 月份的最后期限。
该漏洞的补丁,指定错误号 CVE-2022-20465,最终出现在 Android 的 2022 年 2022 月安全补丁中,日期为 11-05-XNUMX,与 Google 描述修复 如: “SIM PUK 解锁后不要关闭键盘锁。”
用技术术语来说,这个错误是已知的 比赛条件,其中操作系统的一部分正在监视 PUK 输入过程以跟踪“现在解锁 SIM 卡安全吗?” state 最终产生了一个成功信号,该信号胜过了同时跟踪“解锁整个设备是否安全?”的代码。
尽管如此,由于谷歌的漏洞赏金支付,Schütz 现在变得更加富有(他的报告显示他希望获得 100,000 美元,但最终他不得不以 70,000 美元和解)。
他确实在 15 年 2022 月 XNUMX 日的最后期限之后推迟了披露该错误,并接受了谨慎有时是勇气的更好部分,他说:
我 [was] 太害怕了,不敢真正发布实时错误,而且由于距离修复不到一个月,所以无论如何这并不值得。 我决定等待修复。
怎么办呢?
检查您的 Android 是否是最新的: 个人设置 > 安保行业 > 安全更新 > 检查更新.
请注意,当我们访问 安全更新 屏幕,有一段时间没用过我们的Pixel手机,Android大胆宣称 您的系统是最新的,表明它早一分钟左右就自动检查了,但仍然告诉我们我们在 October 5, 2022 安全更新。
我们手动强制进行新的更新检查并立即被告知 正在准备系统更新...,然后是短暂的下载,漫长的准备阶段,然后是重新启动请求。
重新启动后,我们到达了 November 5, 2022 补丁级别。
然后我们回去又做了一个 检查更新 确认没有未解决的修复。
我们用了 个人设置 > 安保行业 > 安全更新 进入强制下载页面:
报告的日期似乎有误,因此我们强制 Android 检查更新 反正:
确实有要安装的更新:
而不是等待我们使用 简历 立即进行:
接下来是漫长的更新过程:
我们又做了一个 检查更新 确认我们在那里:
![S3 Ep115:真实的犯罪故事 – 网络犯罪斗士生活中的一天 [音频 + 文本] PlatoBlockchain 数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115:真实的犯罪故事——网络犯罪斗士生活中的一天 [音频 + 文本]")
