David Schütz라는 버그 현상금 사냥꾼이 방금 게시했습니다. 상세한 보고서 자신이 위험한 Android 보안 허점이라고 생각한 것에 대해 몇 달 동안 Google과 어떻게 엇갈렸는지 설명합니다.
Schütz에 따르면 그는 2022년 XNUMX월 누구에게나 쉽게 일어날 수 있는 실제 상황에서 완전히 우연히 전체 Android 잠금 화면 우회 버그를 발견했습니다.
다시 말해서, 다른 사람들이 의도적으로 버그를 찾아 나서지 않고 결함에 대해 알아낼 수 있다고 가정하는 것이 합리적이어서, 발견 및 공개(또는 사적인 남용)를 제로 데이 구멍으로 만들 가능성이 평소보다 훨씬 더 높습니다.
불행히도 2022년 XNUMX월까지 패치되지 않았기 때문에 지금에서야 공개했습니다.
뜻밖의 배터리 정전
간단히 말해서, 그는 장거리 여행을 떠나기 전에 휴대전화를 끄거나 충전하는 것을 잊어버리고 이동하는 동안 기기가 눈에 띄지 않게 과즙이 부족한 상태로 남아 있기 때문에 버그를 발견했습니다.
Schütz에 따르면, 그는 집에 돌아온 후 약간의 메시지를 보내려고 서두르고 있었습니다(우리는 그가 비행기에 탔을 것으로 추측합니다). 배터리에 약간의 전력이 남아 있습니다...
...전화가 죽었을 때.
사람들에게 우리가 안전하게 도착했고, 수하물 찾는 곳에서 기다리고 있으며, 기차역에 도착했으며, 45분 안에 집에 도착할 것으로 예상한다는 것을 알리기 위해 전화를 재부팅하기 위해 충전기나 백업 배터리 팩을 찾아 헤맸습니다. 누군가 긴급하게 필요한 것이 있거나 우리가 할 말이 있으면 상점에 들를 수 있습니다.
그리고 우리 모두는 급할 때 비밀번호와 PIN으로 어려움을 겪었습니다. 특히 비밀번호가 거의 사용하지 않고 입력을 위한 "근육 메모리"를 개발하지 않은 경우 더욱 그렇습니다.
Schütz의 경우 그를 당황하게 만든 것은 SIM 카드에 있는 소박한 PIN이었고 SIM PIN은 XNUMX자리로 짧을 수 있기 때문에 최대 XNUMX개의 추측으로 제한하는 하드웨어 잠금으로 보호됩니다. (우리는 거기에 있었고, 그렇게 했고, 스스로를 가두었습니다.)
그런 다음 PUK로 알려진 10자리 "마스터 PIN"을 입력해야 합니다. 개인 차단 해제 키, 일반적으로 SIM이 판매되는 포장 내부에 인쇄되어 있어 대부분 변조 방지됩니다.
그리고 PUK 추측 공격으로부터 보호하기 위해 SIM은 10번의 잘못된 시도 후에 자동으로 자체적으로 프라이밍되며 교체해야 합니다.
내가 그 포장으로 무엇을 했는가?
다행히도 Schütz는 버그가 없었다면 버그를 찾지 못했을 것이기 때문에 찬장 어딘가에 숨겨져 있던 원래 SIM 포장을 찾아 PUK를 가리는 보호 스트립을 긁어내고 입력했습니다.
이 시점에서 전원이 꺼진 후 전화를 시작하는 과정에 있었다는 점을 감안할 때 그는 전화의 잠금 해제 코드를 입력하도록 요구하는 전화의 잠금 화면을 보았어야 했습니다...
… 하지만 대신 그는 자신이 잘못된 종류의 잠금 화면에서, 지문만으로 장치를 잠금 해제할 수 있는 기회를 제공했기 때문입니다.
이는 일반 사용 중에 전화기가 잠긴 경우에만 발생해야 하며 전원을 껐다가 다시 부팅한 후 전체 암호 재인증(또는 스와이프하여 잠금 해제 "패턴 코드" 중 하나) 시 발생해서는 안 됩니다. )을 시행해야 합니다.
잠금 화면에 정말 "잠금"이 있습니까?
아마 당신이 알고 있는 것처럼 여러 번 우리는 서면으로 잠금 화면 버그 몇 년 동안 Naked Security에서 잠금 화면의 "잠금"이라는 단어의 문제는 최신 전화를 "잠금" 및 "잠금 해제"하는 프로세스를 관리하는 코드가 얼마나 복잡한지를 나타내는 좋은 비유가 아니라는 것입니다.
현대식 모바일 잠금 화면은 괜찮은 품질의 데드볼트 잠금 장치가 장착된 집 현관문과 비슷합니다.
...하지만 또한 우편함(우편함), 빛을 비추는 유리 패널, 고양이 덮개, 데드볼트가 약간 번거롭기 때문에 의존하는 법을 배웠던 잠글 수 있는 스프링 잠금 장치 및 외부 무선 초인종/ 일반 텍스트로 된 Wi-Fi 비밀번호와 녹화한 마지막 60분의 비디오 장면이 포함되어 있어도 훔치기 쉬운 보안 카메라입니다.
아, 그리고 어떤 경우에는 안전해 보이는 현관문이라도 현관 매트 아래에 열쇠가 "숨겨져" 있을 것입니다. 이는 Schütz가 안드로이드 폰에서 자신을 발견한 상황과 거의 흡사합니다.
구불구불한 통로 지도
최신 휴대전화 잠금 화면은 휴대전화를 잠그는 것이 아니라 앱을 제한된 작동 모드로 제한합니다.
이것은 일반적으로 잠금 해제 없이 카메라를 활성화하거나 누군가 없이 볼 수 있는 선별된 알림 메시지 또는 이메일 제목 줄을 표시하는 것과 같은 다양한 "특별한 경우" 기능에 대한 잠금 화면 액세스를 귀하와 귀하의 앱에 남겨 둡니다. 암호.
Schütz가 완벽하게 예외가 없는 일련의 작업에서 발견한 것은 전문 용어로 잠금 화면이라고 알려진 결함이었습니다. 상태 머신.
상태 머신은 네트워크 연결이 "청취"에서 "로 전환하는 것과 같이 프로그램이 한 상태에서 다른 상태로 이동할 수 있는 법적 방법과 함께 프로그램이 있을 수 있는 조건의 일종의 그래프 또는 지도입니다. 연결됨", 그리고 "연결됨"에서 "확인됨"으로, 또는 전화 화면이 "잠김"에서 "지문으로 잠금 해제 가능" 또는 "잠금 해제 가능하지만 암호로만 가능"으로 전환됩니다.
상상할 수 있듯이, 복잡한 작업을 위한 상태 시스템은 빠르게 자체적으로 복잡해지고 한 상태에서 다른 상태로의 다양한 법적 경로의 맵은 결국 우여곡절로 가득 차게 될 수 있습니다.
...그리고 때때로 테스트 중에 아무도 눈치채지 못한 이국적인 비밀 통로.
실제로 Schütz는 그의 부주의한 PUK 발견을 일반 잠금 화면 우회로 사용할 수 있었습니다. 자신의 새로운 SIM 카드와 종이 클립.
궁금한 경우를 대비하여 종이 클립은 이미 전화기에 있는 SIM을 꺼내서 새 SIM을 삽입하고 전화기를 "보안상의 이유로 이 새 SIM에 대한 PIN을 요청해야 합니다" 상태로 속일 수 있도록 하는 것입니다. Schütz는 해킹을 시연하기 위해 Google 사무실에 갔을 때 아무도 적절한 SIM 추출기를 가지고 있지 않았기 때문에 먼저 바늘을 시도했지만 Schütz는 자신을 찌를 수 있었던 바늘을 빌린 귀걸이로 성공했습니다. 우리는 바늘을 먼저 찌르는 것이 효과가 없다고 생각하여(작은 바늘로 이젝터 핀을 맞추는 것이 어렵습니다) "정말 조심하면서" 바깥쪽을 가리키는 위험을 감수하기로 결정하여 해킹 시도를 문자 그대로 바꾸었습니다. 마구 자르기. (우리는 거기에 있었고, 그렇게 했고, 손끝에서 우리 자신을 찔렀습니다.)
새로운 SIM으로 시스템 게임하기
공격자가 새 SIM의 PIN과 PUK를 모두 알고 있다는 점을 감안할 때 의도적으로 PIN을 세 번 틀리고 즉시 PUK를 맞힐 수 있으므로 의도적으로 잠금 화면 상태 시스템을 Schütz가 우연히 발견한 안전하지 않은 상태로 만들 수 있습니다.
적절한 타이밍에 Schütz는 표시되지 않아야 할 지문 잠금 해제 페이지로 이동할 수 있을 뿐만 아니라 성공적인 PUK 잠금 해제를 지문 화면을 해제하라는 신호로 수락하도록 전화기를 속일 수 있음을 발견했습니다. 전체 잠금 해제 프로세스를 "검증"합니다. 마치 그가 전화기의 전체 잠금 코드를 입력한 것처럼.
우회 잠금 해제!
불행히도 Schütz의 기사 대부분은 회사의 엔지니어가 버그가 실제로 반복 가능하고 악용 가능하다고 결정한 후에도 Google이 이 취약점에 대응하고 이 취약점을 수정하는 데 걸린 시간을 설명합니다.
Schütz 자신이 말했듯이 :
이것은 내가 아직 발견한 가장 영향력 있는 취약점이었고 수정 일정에 대해 걱정하기 시작했고 심지어 그것을 "비밀"로 유지하는 것에 대해 걱정하기 시작한 선을 넘었습니다. 내가 과민 반응을 보일 수도 있지만 얼마 전까지만 해도 FBI가 거의 같은 문제를 놓고 애플과 싸웠다는 뜻이다.
공개 지연
버그 공개에 대한 Google의 태도를 감안할 때 자체 Project Zero 팀은 엄격한 공개 시간 및 그들에게 붙어, 당신은 회사가 90일 이상 14일의 특별한 경우의 규칙을 고수할 것으로 예상했을 것입니다.
그러나 Schütz에 따르면 이 경우 Google은 이를 관리할 수 없습니다.
분명히 그는 2022년 2022월에 버그를 공개적으로 공개하기로 계획한 날짜에 동의한 것으로 보입니다. 이제 그는 XNUMX년 XNUMX월에 버그를 발견하기에는 충분한 시간인 것 같습니다.
그러나 Google은 XNUMX월 마감일을 놓쳤습니다.
결함에 대한 패치(버그 번호 CVE-2022-20465로 지정됨)는 Google과 함께 2022-2022-11 일자 Android의 05년 XNUMX월 보안 패치에 마침내 나타났습니다. 수정 사항 설명 으로 : "SIM PUK 잠금 해제 후 키가드를 해제하지 마십시오."
기술적 인 측면에서 버그는 알려진 것입니다. 경쟁 조건, PUK 진입 과정을 지켜보고 있던 운영 체제 부분이 "지금 SIM을 잠금 해제해도 안전합니까?" 상태는 "전체 장치의 잠금을 해제하는 것이 안전한가요?"를 동시에 추적하는 코드를 능가하는 성공 신호를 생성했습니다.
그러나 Schütz는 이제 Google의 버그 포상금 덕분에 훨씬 더 부유해졌습니다(그의 보고서에 따르면 그는 $100,000를 원했지만 결국 $70,000에 합의해야 했습니다).
그리고 그는 15년 2022월 XNUMX일 마감일 이후에 버그를 공개하는 것을 보류했으며 재량권이 때로는 용기의 더 나은 부분이라는 것을 받아들이면서 다음과 같이 말했습니다.
나는 [라이브] 버그를 실제로 내놓기가 너무 무서웠고 수정이 한 달도 채 남지 않았기 때문에 어쨌든 가치가 없었습니다. 나는 수정을 기다리기로 결정했다.
무엇을해야 하는가?
Android가 최신 버전인지 확인합니다. 설정 > 보안 > 보안 업데이트 > 업데이트를 확인.
참고로 저희가 방문했을 때 보안 업데이트 한동안 픽셀 폰을 사용하지 않은 안드로이드는 화면에서 과감하게 선언했다. 시스템이 최신 상태입니다., XNUMX분 정도 전에 자동으로 확인했음을 보여주지만 여전히 October 5, 2022 보안 업데이트.
우리는 수동으로 새로운 업데이트 확인을 강제했고 즉시 시스템 업데이트 준비 중…, 짧은 다운로드, 긴 준비 단계, 재부팅 요청이 이어집니다.
재부팅 후 우리는 November 5, 2022 패치 수준.
우리는 그 다음 돌아가서 하나 더 했다 업데이트를 확인 아직 해결되지 않은 수정 사항이 없음을 확인합니다.
우리는 사용 설정 > 보안 > 보안 업데이트 강제 다운로드 페이지로 이동하려면:
보고된 날짜가 잘못된 것 같아서 Android를 강제로 업데이트를 확인 어쨌든:
실제로 설치할 업데이트가 있었습니다.
우리는 기다리는 대신 이력서 한 번에 진행하려면:
긴 업데이트 프로세스가 뒤따랐습니다.
우리는 하나 더 했다 업데이트를 확인 우리가 거기에 있었다는 것을 확인하기 위해:
