Ein Bug-Bounty-Jäger namens David Schütz hat gerade eine veröffentlicht detaillierten Bericht Er beschrieb, wie er mehrere Monate lang mit Google über eine seiner Meinung nach gefährliche Android-Sicherheitslücke gekämpft hatte.
Laut Schütz stolperte er im Juni 2022 völlig zufällig über einen totalen Android-Lockscreen-Bypass-Bug, unter realen Bedingungen, die jedem leicht passieren könnten.
Mit anderen Worten, es war vernünftig anzunehmen, dass andere Leute von dem Fehler erfahren könnten, ohne absichtlich nach Fehlern zu suchen, was seine Entdeckung und öffentliche Offenlegung (oder privaten Missbrauch) als Zero-Day-Loch viel wahrscheinlicher als gewöhnlich macht.
Leider wurde es erst im November 2022 gepatcht, weshalb er es erst jetzt offengelegt hat.
Ein zufälliger Batterieausfall
Einfach gesagt, er fand den Fehler, weil er vergessen hatte, sein Telefon auszuschalten oder aufzuladen, bevor er sich auf eine längere Reise begab, und dem Gerät unterwegs unbemerkt den Saft ausging.
Laut Schütz wollte er nach seiner Rückkehr nach Hause (wir vermuten, dass er in einem Flugzeug saß) mit der winzigen Menge an Energie, die noch im Akku war, einige Nachrichten senden …
… als das Telefon starb.
Wir waren alle schon dort, haben nach einem Ladegerät oder einem Ersatzakku gesucht, um das Telefon neu zu starten, damit die Leute wissen, dass wir sicher angekommen sind, an der Gepäckausgabe warten, den Bahnhof erreicht haben, damit rechnen, in 45 Minuten nach Hause zu kommen, könnten bei den Läden vorbeischauen, wenn jemand dringend etwas braucht, oder was immer wir zu sagen haben.
Und wir alle haben mit Passwörtern und PINs zu kämpfen, wenn wir in Eile sind, besonders wenn es sich um Codes handelt, die wir selten verwenden und für die wir nie ein „Muskelgedächtnis“ zum Eintippen entwickelt haben.
Im Fall von Schütz war es die bescheidene PIN auf seiner SIM-Karte, die ihn verblüffte, und da SIM-PINs nur vier Ziffern lang sein können, sind sie durch eine Hardware-Sperre geschützt, die Sie auf höchstens drei Vermutungen beschränkt. (Wir waren da, haben das gemacht, uns ausgesperrt.)
Danach müssen Sie eine 10-stellige „Master-PIN“ eingeben, die kurz PUK genannt wird persönlicher Entsperrschlüssel, die normalerweise in der Verpackung aufgedruckt ist, in der die SIM verkauft wird, wodurch sie weitgehend manipulationssicher ist.
Und zum Schutz vor PUK-Rate-Angriffen frisst sich die SIM-Karte nach 10 falschen Versuchen automatisch selbst und muss ersetzt werden, was normalerweise bedeutet, dass Sie sich mit einem Ausweis an einen Handyladen wenden.
Was habe ich mit dieser Verpackung gemacht?
Zum Glück, denn sonst hätte er den Fehler nicht gefunden, fand Schütz die irgendwo in einem Schrank verstaute Original-SIM-Verpackung, kratzte den Schutzstreifen ab, der die PUK verdeckt, und tippte sie ein.
Da er gerade dabei war, das Telefon zu starten, nachdem ihm der Strom ausgegangen war, hätte er zu diesem Zeitpunkt den Sperrbildschirm des Telefons sehen müssen, der ihn aufforderte, den Entsperrcode des Telefons einzugeben …
…aber stattdessen erkannte er, dass er es war bei der falschen Art von Sperrbildschirm, weil es ihm die Möglichkeit bot, das Gerät nur mit seinem Fingerabdruck zu entsperren.
Das sollte nur passieren, wenn Ihr Telefon während des normalen Gebrauchs gesperrt wird, und sollte nicht nach einem Ausschalten und Neustart passieren, wenn eine vollständige Passcode-Neuauthentifizierung (oder einer dieser „Mustercodes“ zum Entsperren durch Wischen) ) sollten durchgesetzt werden.
Gibt es wirklich ein „Schloss“ in Ihrem Sperrbildschirm?
Wie Sie wahrscheinlich von der wissen vielfach wir haben darüber geschrieben Sperrbildschirm-Fehler Im Laufe der Jahre Bei Naked Security besteht das Problem mit dem Wort „Sperre“ im Sperrbildschirm darin, dass es einfach keine gute Metapher ist, um darzustellen, wie komplex der Code ist, der den Prozess des „Sperrens“ und „Entsperrens“ moderner Telefone verwaltet.
Ein moderner mobiler Sperrbildschirm ist ein bisschen wie eine Haustür, die mit einem Riegelschloss von guter Qualität ausgestattet ist …
…hat aber auch einen Briefkasten (Briefschlitz), Glasscheiben, um Licht hereinzulassen, eine Katzenklappe, ein abnehmbares Federschloss, auf das Sie sich verlassen können, weil der Riegel etwas umständlich ist, und eine externe drahtlose Türklingel/ Sicherheitskamera, die leicht zu stehlen ist, obwohl sie Ihr WLAN-Passwort im Klartext und die letzten 60 Minuten des aufgezeichneten Videomaterials enthält.
Oh, und selbst bei einer sicher aussehenden Haustür sind die Schlüssel in manchen Fällen ohnehin unter der Fußmatte „versteckt“, was ziemlich genau die Situation ist, in der sich Schütz auf seinem Android-Handy befand.
Eine Karte mit verwinkelten Gängen
Bei modernen Telefon-Sperrbildschirmen geht es nicht so sehr darum, Ihr Telefon zu sperren, sondern Ihre Apps auf eingeschränkte Betriebsmodi zu beschränken.
Dadurch erhalten Sie und Ihre Apps in der Regel über den Sperrbildschirm Zugriff auf eine Vielzahl von „Sonderfall“-Funktionen, wie z das Passwort.
Was Schütz in einer absolut tadellosen Abfolge von Operationen entdeckt hatte, war ein Fehler im Fachjargon Lockscreen genannt Zustandsmaschine.
Eine Zustandsmaschine ist eine Art Graph oder Karte der Bedingungen, in denen sich ein Programm befinden kann, zusammen mit den legalen Wegen, auf denen das Programm von einem Zustand in einen anderen wechseln kann, z. verbunden“ und dann von „verbunden“ zu „verifiziert“ oder ein Telefonbildschirm, der von „gesperrt“ entweder zu „mit Fingerabdruck entsperrbar“ oder zu „entsperrbar, aber nur mit einem Passcode“ wechselt.
Wie Sie sich vorstellen können, werden Staatsmaschinen für komplexe Aufgaben schnell selbst kompliziert, und die Landkarte der verschiedenen rechtlichen Wege von einem Staat zum anderen kann am Ende voller Wendungen und Wendungen sein …
… und manchmal exotische Geheimgänge, die beim Testen niemandem aufgefallen sind.
Tatsächlich war Schütz in der Lage, seine versehentliche PUK-Entdeckung in eine generische Lockscreen-Umgehung zu verwandeln, durch die jeder, der ein gesperrtes Android-Gerät aufhob (oder stahl oder auf andere Weise kurz darauf zugegriffen hatte), es in den entsperrten Zustand bringen konnte, bewaffnet mit nichts anderem als a neue eigene SIM-Karte und eine Büroklammer.
Falls Sie sich fragen, dient die Büroklammer dazu, die bereits im Telefon befindliche SIM-Karte auszuwerfen, sodass Sie die neue SIM-Karte einlegen und das Telefon in den Zustand „Ich muss aus Sicherheitsgründen die PIN für diese neue SIM-Karte anfordern“ versetzen können. Schütz gibt zu, dass niemand einen richtigen SIM-Auswerfer hatte, als er in die Google-Büros ging, um den Hack zu demonstrieren, also probierten sie es zuerst mit einer Nadel, mit der Schütz es schaffte, sich selbst zu erstechen, bevor es ihm mit einem geliehenen Ohrring gelang. Wir vermuten, dass es nicht funktioniert hat, zuerst die Nadel in die Spitze zu stechen (es ist schwer, den Auswerferstift mit einer winzigen Spitze zu treffen), also beschloss er, es zu riskieren, die Spitze nach außen zu verwenden, während er „sehr vorsichtig“ war, wodurch ein Hacking-Versuch buchstäblich wurde hacken. (Wir waren dort, haben das getan, uns in die Fingerspitze gestochen.)
Spielen Sie das System mit einer neuen SIM-Karte
Da der Angreifer sowohl die PIN als auch die PUK der neuen SIM-Karte kennt, kann er die PIN absichtlich dreimal falsch eingeben und dann sofort die richtige PUK eingeben, wodurch die Sperrbildschirm-Zustandsmaschine absichtlich in den unsicheren Zustand gezwungen wird, den Schütz zufällig entdeckt hat.
Mit dem richtigen Timing stellte Schütz fest, dass er nicht nur auf der Seite zum Entsperren per Fingerabdruck landen konnte, obwohl diese nicht erscheinen sollte, sondern das Telefon auch dazu bringen konnte, die erfolgreiche PUK-Entsperrung als Signal zum Schließen des Fingerabdruckbildschirms zu akzeptieren und „validieren“ Sie den gesamten Entsperrvorgang als hätte er den vollständigen Sperrcode des Telefons eingegeben.
Bypass entsperren!
Leider beschreibt ein Großteil des Artikels von Schütz die Zeit, die Google brauchte, um auf diese Schwachstelle zu reagieren und sie zu beheben, selbst nachdem die eigenen Ingenieure des Unternehmens entschieden hatten, dass der Fehler tatsächlich wiederholbar und ausnutzbar war.
Wie Schütz selbst es ausdrückte:
Dies war die einflussreichste Schwachstelle, die ich bisher gefunden habe, und sie hat für mich eine Grenze überschritten, an der ich wirklich anfing, mir Sorgen über den Zeitplan für die Behebung zu machen und sogar darüber, sie selbst als „Geheimnis“ zu behalten. Ich überreagiere vielleicht, aber ich meine, vor nicht allzu langer Zeit kämpfte das FBI mit Apple um fast dasselbe.
Offenlegungsverzögerungen
Angesichts der Haltung von Google zur Offenlegung von Fehlern mit seinem eigenen Project Zero-Team, das notorisch fest auf die Notwendigkeit steht, strenge Offenlegungszeiten festzulegen und bleib bei ihnen, haben Sie vielleicht erwartet, dass sich das Unternehmen an seine 90-Tage-plus-14-Extra-in-Sonderfällen-Regeln hält.
Aber laut Schütz konnte Google es in diesem Fall nicht schaffen.
Anscheinend hatte er ein Datum im Oktober 2022 vereinbart, bis zu dem er plante, den Fehler öffentlich zu machen, wie er es jetzt getan hat, was für einen Fehler, den er im Juni 2022 entdeckte, genug Zeit zu sein scheint.
Aber Google hat diese Frist im Oktober verpasst.
Der Patch für den Fehler mit der Fehlernummer CVE-2022-20465 erschien schließlich in den Android-Sicherheitspatches vom November 2022 vom 2022 bei Google die Behebung beschreiben als: „Keyguard nach SIM-PUK-Entsperrung nicht schließen.“
In technischer Hinsicht war der Fehler das, was bekannt ist Rennzustand, wo der Teil des Betriebssystems, der den PUK-Eingabeprozess überwachte, die Frage „Ist es sicher, die SIM-Karte jetzt zu entsperren?“ verfolgt. Der Zustand erzeugte schließlich ein Erfolgssignal, das den Code übertrumpfte, der gleichzeitig den Überblick über „Ist es sicher, das gesamte Gerät zu entsperren?“ verfolgte.
Trotzdem ist Schütz jetzt dank Googles Bug-Bounty-Auszahlung deutlich reicher (sein Bericht deutet darauf hin, dass er auf 100,000 US-Dollar gehofft hatte, sich aber am Ende mit 70,000 US-Dollar zufrieden geben musste).
Und er hielt es mit der Offenlegung des Fehlers nach Ablauf der Frist vom 15. Oktober 2022 zurück und akzeptierte, dass Diskretion manchmal der bessere Teil der Tapferkeit ist, und sagte:
Ich [war] zu verängstigt, um den Live-Bug tatsächlich zu löschen, und da die Behebung weniger als einen Monat entfernt war, war es das sowieso nicht wirklich wert. Ich beschloss, auf den Fix zu warten.
Was ist zu tun?
Überprüfen Sie, ob Ihr Android auf dem neuesten Stand ist: Einstellungen > Sicherheit > Sicherheitsupdate > Auf Update überprüfen.
Beachten Sie, dass bei unserem Besuch der Sicherheitsupdate Bildschirm, nachdem wir unser Pixel-Telefon eine Weile nicht benutzt hatten, verkündete Android kühn Ihr System ist auf dem neuesten Stand, was zeigt, dass es ungefähr eine Minute zuvor automatisch überprüft hatte, uns aber immer noch mitteilte, dass wir auf dem waren October 5, 2022 Sicherheits-Update.
Wir erzwangen manuell eine erneute Update-Prüfung und wurden sofort informiert Systemupdate wird vorbereitet…, gefolgt von einem kurzen Download, einer längeren Vorbereitungsphase und einer Neustartanforderung.
Nach dem Neustart hatten wir die erreicht November 5, 2022 Patch-Level.
Wir gingen dann zurück und machten noch einen Auf Update überprüfen um zu bestätigen, dass keine noch ausstehenden Fixes vorhanden sind.
Wir verwendeten Einstellungen > Sicherheit > Sicherheitsupdate So gelangen Sie zur Force-A-Download-Seite:
Das gemeldete Datum schien falsch zu sein, also haben wir Android dazu gezwungen Auf Update überprüfen wie auch immer:
Es war tatsächlich ein Update zu installieren:
Statt zu warten haben wir genutzt Lebenslauf gleich weitermachen:
Es folgte ein langwieriger Update-Prozess:
Wir haben noch eins gemacht Auf Update überprüfen um zu bestätigen, dass wir dort waren:
