轉(zhuǎn)載自 山外的鴨子哥 藍(lán)點(diǎn)網(wǎng) 2022-11-12 17:50 發(fā)表于浙江 為方便大家理解我臨時(shí)用手機(jī)錄了一個(gè)我手頭這個(gè)安卓測(cè)試機(jī)的視頻，這個(gè)測(cè)試機(jī)是 HMD Nokia X6 國(guó)行版，使用的是 Android 9.0 版，屬于類原生系統(tǒng)，已經(jīng)中招。有 PUK 碼的小伙伴可以測(cè)試華為、小米、OPPO、vivo、OnePlus、魅族等其他機(jī)型是否中招。理論上說，深度定制的系統(tǒng)可能是不受影響的。 特別聲明： 由于本漏洞已經(jīng)完全公開且谷歌已經(jīng)發(fā)布安全補(bǔ)丁修復(fù)漏洞，藍(lán)點(diǎn)網(wǎng)錄制本視頻目的是提醒大家提高安全警惕，請(qǐng)勿利用此漏洞進(jìn)行任何違法行為，否則一切后果自負(fù)。 概述部分： David Schütz 是一名匈牙利的安全研究人員，在一次旅行中 David 發(fā)現(xiàn)自己竟然可以輕松繞過 Google Pixel 6 安全系統(tǒng)，在沒有輸入密碼的情況下解鎖設(shè)備。其原理是安卓系統(tǒng)的 SIM 卡 PUK 重置解鎖與系統(tǒng)解鎖部分存在漏洞和競(jìng)爭(zhēng)問題，導(dǎo)致重置 PUK 后直接把系統(tǒng) PIN 驗(yàn)證也給關(guān)了，直接進(jìn)入系統(tǒng)無(wú)需密碼或指紋。 這次意外發(fā)現(xiàn)讓 David 獲得谷歌破例提供的 7 萬(wàn)美元獎(jiǎng)金，雖然過程非常曲折、中間各種扯皮，但最終這枚漏洞得到修復(fù)并且獎(jiǎng)金也成功發(fā)放。 第一部分：忘記我的 SIM 卡 PIN 我在旅行 24 小時(shí)后發(fā)現(xiàn)了這個(gè)漏洞：旅行回家后我的 Pixel 6 電量為 1%，它即將關(guān)機(jī)的時(shí)候我正在發(fā)送一條短信，結(jié)果沒電關(guān)機(jī)。 我趕緊找到充電器插上并重新啟動(dòng)手機(jī)，Pixel 啟動(dòng)時(shí)詢問 PIN 碼，我很清楚的記得我設(shè)置的 PIN 碼，但這次不知道是為什么我竟然忘記了，在連續(xù)錯(cuò)誤三次后 SIM 卡被鎖定。 于是我又拿出 SIM 卡卡片提供的 PUK 解鎖碼，刮開涂層后我獲得 PUK 碼，輸入 PUK 碼即可解鎖 SIM 卡并重新設(shè)定 PIN 碼。（藍(lán)點(diǎn)網(wǎng)注：PUK 碼連續(xù)輸錯(cuò) 10 次 SIM 卡將被永久鎖定也就是作廢，你的 PUK 碼在 SIM 卡原始卡片里，你也可以從運(yùn)營(yíng)商 APP 里查詢 PUK 碼）。 在我輸入 PUK 碼解鎖后系統(tǒng)要求我設(shè)置一個(gè)新的 PIN 碼，然后我按照流程設(shè)置完畢后進(jìn)入了系統(tǒng)。 橋豆麻袋：感覺好些不對(duì)勁！ 這是一個(gè)全新的啟動(dòng)而不是系統(tǒng)已經(jīng)啟動(dòng)后讓我輸入手機(jī)的 PIN 碼或者密碼進(jìn)行解鎖，此時(shí)系統(tǒng)也彈出指紋，在我認(rèn)證指紋后系統(tǒng)卡在 Pixel is started 界面，直到我再次重啟系統(tǒng)。 注：正常情況下系統(tǒng)重啟后無(wú)法使用指紋或面容識(shí)別，必須先輸入 PIN 碼或其他自定義密碼解鎖后，才能在下次鎖屏后使用指紋或面容解鎖。從這里可以看出來使用 PUK 解鎖 SIM 后系統(tǒng)直接跳過了最基礎(chǔ)也是最重要的安全認(rèn)證。 第二部分：剛剛發(fā)生了什么 雖然我心里感覺有點(diǎn)奇怪，認(rèn)為這可能存在一些安全隱患，所以準(zhǔn)備后面再測(cè)試看看。 第二天我故意輸錯(cuò) SIM 卡密碼再使用 PUK 解鎖，然后我看到了相同的啟動(dòng)界面。你以為這就完了嗎？?的輸入 PUK 解鎖后再輸入新的 SIM PIN 碼后，手機(jī)竟然直接解鎖了，連指紋都不用按了?。。? 在我稍微平靜一點(diǎn)后，我意識(shí)到這是一個(gè)該死的全鎖屏繞過漏洞，在 Pixel 6 完全打補(bǔ)丁的情況下可以繞過鎖屏。在我的 Pixel 5 進(jìn)行測(cè)試后發(fā)現(xiàn)情況完全一樣。 這意味著什么：任何人拿到你的安卓手機(jī)，只需要提前準(zhǔn)備一張已知 PUK 的 SIM 卡，就可以直接把你的卡拔掉換上攻擊者的，然后直接繞過安卓系統(tǒng)的啟動(dòng)鎖屏。 這個(gè)漏洞太容易利用，因此是一個(gè)巨大的安全缺陷。 第三部分：谷歌的回應(yīng) 我把漏洞報(bào)告給谷歌，這是我迄今為止提交的最短的報(bào)告，因?yàn)橹恍枰鍌€(gè)簡(jiǎn)單步驟就可以復(fù)現(xiàn)漏洞。 谷歌在 37 分鐘后就對(duì)我提交的漏洞進(jìn)行分類和提交，那真是令人驚訝的速度。但隨后情況就不對(duì)了，因?yàn)闆]有了回應(yīng)。 在這個(gè) bug 的生命周期里，由于官方回復(fù)沒有什么值得關(guān)注的信息，實(shí)際上我更喜歡官方對(duì)漏洞的回復(fù)。由于缺少官方回復(fù)我只能從谷歌員工那里獲得零碎的信息。 另外根據(jù) Android VRP 的漏洞獎(jiǎng)金制度，如果提交可以解鎖 Pixel 設(shè)備的鎖屏，按最多可以獲得高達(dá) 10 萬(wàn)美元的獎(jiǎng)金。由于我提交時(shí)也勾選了繞過鎖屏的框，我有點(diǎn)認(rèn)為我提交這個(gè)漏洞會(huì)讓我獲得 10 萬(wàn)美元的獎(jiǎng)勵(lì)。 在超過一個(gè)月沒有回應(yīng)后，我聽說這個(gè) bug 提交可能已經(jīng)被關(guān)閉，顯然在我之前已經(jīng)有其他人提交了這個(gè)漏洞。 在漏洞提交后的 31 天，我收到了安卓團(tuán)隊(duì)發(fā)來的自動(dòng)郵件，郵件稱在我之前已經(jīng)有研究人員提交了這個(gè)漏洞。所以，我的 10 萬(wàn)美元獎(jiǎng)金直接變成了 0 美元，我真的什么也做不了，只能接受這個(gè) bug 是一個(gè)已經(jīng)重復(fù)的并且沒有任何獎(jiǎng)金的事實(shí)。 快進(jìn)到九月份，也就是我提交漏洞的三個(gè)月后，我當(dāng)時(shí)在倫敦，參加個(gè) Google ESCAL8 的漏洞發(fā)掘活動(dòng)，當(dāng)時(shí) 2022 年 9 月版的 Android 補(bǔ)丁剛剛發(fā)布，我更新了收集，然后在酒店房間的一晚，我試圖復(fù)現(xiàn)這個(gè)漏洞，我希望谷歌已經(jīng)修復(fù)了這個(gè)漏洞。但該死，?的這個(gè)漏洞還是存在的。 這真把我嚇壞了，我覺得我比谷歌還關(guān)心這個(gè)漏洞。所以從那天晚上，我開始聯(lián)系我們一起參加活動(dòng)的谷歌員工。 第二天，我最終向更多人解釋了這個(gè)問題，我甚至在谷歌辦公室(舉辦該安全活動(dòng)的臨時(shí)場(chǎng)所)里找了一些 Pixel 手機(jī)進(jìn)行現(xiàn)場(chǎng)演示。由于沒有卡針，我們嘗試使用找來的針頭，結(jié)果在操作過程中我的手指被割傷開始流血，我讓一位谷歌工程師幫我貼了個(gè)創(chuàng)口貼。由于使用針頭沒用，我們四處打聽，一位非常善良的女士把她的耳環(huán)取下來給我們使用。（要是在常規(guī)辦公室里找個(gè)回形針或者訂書機(jī)釘都很容易取下 SIM 卡）。 最終我們成功換下 SIM 卡，我感覺好多了，人們似乎開始關(guān)注了這個(gè)問題。 圖片 我將此漏洞的披露截止日期設(shè)定在 10 月 15 日，但 Android VRP 團(tuán)隊(duì)回復(fù)說不會(huì)在 10 月修復(fù)，他們的目標(biāo)是在 12 月修復(fù)該漏洞。 考慮到潛在安全影響，我認(rèn)為這對(duì)我來說似乎有點(diǎn)過分了，我堅(jiān)持 10 月份是最后的期限，到期后我就會(huì)直接公開這枚安全影響非常大的漏洞。 在和一些 VRP 團(tuán)隊(duì)成員討論后，一位 VRP 官方成員回復(fù)了 bug 報(bào)告，并讓我留下電話進(jìn)行溝通。 最后我與他們多人進(jìn)行了一次當(dāng)面溝通，他們非常友善，聽了我在這幾個(gè)月里的整個(gè)故事，包括只得到了郵件模板自動(dòng)回復(fù)，獎(jiǎng)金從 10 萬(wàn)美元變成 0 美元。 總體來說就像是我比谷歌更關(guān)心這個(gè)漏洞，他們說漏洞提前到 11 月修復(fù)，而不是 12 月，但我仍然堅(jiān)持必須在 10 月修復(fù)。（實(shí)際上最終是 11 月 5 日修復(fù)的，堅(jiān)持被鈔能力打敗了????） 又過了兩周我收到他們的電話，他們說即使我提交的漏洞是重復(fù)的，但因?yàn)槲业膱?jiān)持他們才修復(fù)這個(gè)漏洞。因此谷歌破例給我獎(jiǎng)勵(lì) 7 萬(wàn)美元。 我太害怕了，所以不敢提前公布漏洞了，畢竟距離修復(fù)已經(jīng)非常近，所以提前公布漏洞可能不值得 (擔(dān)心獎(jiǎng)金沒了？)，最終我決定等待修復(fù)。 第四部分：漏洞怎么發(fā)生的 在安卓上有一個(gè)安全屏幕的概念。安全屏幕是多方面的，PIN 輸入界面、指紋掃描、密碼輸入屏幕，或者本文中的 SIM PIN 和 SIM PUK 輸入屏幕。 這些安全屏幕彼此是堆疊的，且都是堆疊在頂部，例如 SIM PIN 界面可見時(shí)，那說明這個(gè)界面是在鎖屏界面的頂部。 SIM PUK 重置后，PUK 重置組件調(diào)用 .dismiss () 安全屏幕堆棧上的一個(gè)函數(shù)，導(dǎo)致設(shè)備關(guān)閉當(dāng)前的安全屏幕并顯示堆棧下方的安全屏幕，在本文案例中，PUK 堆疊在指紋掃描屏幕上。 由于這個(gè)函數(shù)只是簡(jiǎn)單的關(guān)閉了當(dāng)前的屏幕，因此很容易受到競(jìng)爭(zhēng)條件的影響。 想象一下，如果在 PUK 重置調(diào)用組件前，后臺(tái)某些東西改變了當(dāng)前的安全屏幕，那會(huì)發(fā)生什么？PUK 調(diào)用組件時(shí)會(huì)關(guān)閉其他不相關(guān)的安全屏幕嗎？ 這似乎是正在發(fā)生的事情，系統(tǒng)的其他部分正在監(jiān)控 SIM 卡狀態(tài)，當(dāng)檢測(cè)到變化時(shí)會(huì)立即更新當(dāng)前活動(dòng)狀態(tài)的安全屏幕。所以在 PUK 調(diào)用重置組件時(shí)，才會(huì)出現(xiàn)連指紋界面都會(huì)關(guān)閉的情況。 而正常邏輯，PUK 重置后，SIM 卡默認(rèn)解鎖，此時(shí)下一個(gè)安全屏幕就是系統(tǒng)解鎖。 為修復(fù)這個(gè)問題安卓工程師似乎準(zhǔn)備重構(gòu)函數(shù)并添加額外參數(shù)，調(diào)用者可以用來指定想要關(guān)閉的屏幕類型，在本文案例中，PUK 組件現(xiàn)在為執(zhí)行.dismiss (SecurityMode.SimPuk)，僅關(guān)閉 SimPuk 安全屏幕，而不會(huì)關(guān)閉其他任何無(wú)關(guān)的安全屏幕。 在我看來這是一個(gè)優(yōu)雅且強(qiáng)大的解決方案，可以抵御這種情況或者未來其他類似的安全問題，我是真沒想到這個(gè)錯(cuò)誤會(huì)在安卓項(xiàng)目里引起如此大的代碼更改。 注1：正常來說，首個(gè)提交漏洞的研究人員應(yīng)該也會(huì)獲得獎(jiǎng)金，畢竟是谷歌沒修復(fù)的，并不是漏洞不存在。 注2：如此嚴(yán)重的漏洞，此前有研究人員提交的情況下，Android VRP 竟然都沒修復(fù)，這讓人無(wú)法想象。 原文鏈接： https://mp.weixin.qq.com/s/1nEbGz5wbZmLS0QjFmnpbw