安卓锁屏不到 2 分钟被破解，仅需换一张 SIM 卡

ICzcz

换个 SIM 卡，就能解锁别人的手机？！

并且整个解锁过程不超过两分钟。

一位外国小哥偶然间发现了谷歌 Pixel 手机上的这个漏洞：

能够直接绕过手机本身的指纹和密码保护，切换手机卡就能更改密码解锁屏幕。

严格来说，这个漏洞并非谷歌 Pixel 手机“独有”，而是 Android 系统中的一个 bug，任何基于 Android 搭建的操作系统都可能受到影响。

例如有网友试了试开源安卓系统 LineageOS（刷机党常用系统），就发现同样“中招了”：



还有网友在自己的 Android12 系统上试了下这种破解方式，“it works”！



不过这还不是最离谱的，更离谱的是这位小哥在向谷歌反馈之后，安全团队隔了近半年才修复这个漏洞。

这个漏洞究竟是怎么出现的？

简单来说，Android 系统中有一个叫做“安全屏幕”（security screen）的概念，其中包含两种东西，一种是 PIN、指纹、密码等各种直接解锁密保的屏幕操作，另一种是 SIM PIN 和 SIM PUK 等各种解锁手机锁定状态的操作。

这些操作被放在一个栈（stack）中。

正常解锁谷歌手机时，直接用 PIN、指纹或密码都可以，但不能超过 3 次，否则就会被锁定。

但如果忘记密码，手机（在输入 3 次错误密码后）被强制锁定了，同时 SIM PIN 条目可见，它就会被放置在其他屏幕解锁操作之上，用来让你解除手机的锁定状态。



△ 栈原理
这时候，如果使用 SIM 卡自带的 PUK 密码，就能通过一个叫“PUK 重置组件”的模块调用.dismiss() 函数，将手机锁定解除，并继续显示栈下面的其他屏幕解锁操作，在小哥的案例中是指纹锁屏。



△ 就是这个函数
这里注意，.dismiss() 函数可不是一个“专人专用”的函数，它并不只会解除 SIM 卡的手机锁定屏幕，连 PIN、密码和指纹之类的正常锁屏也能解锁……

这就导致它极容易受到竞态条件影响，一旦两个线程执行顺序出现一点儿误差，就可能导致屏幕解锁出现问题。

竞态条件即两个或者以上进程或者线程并发执行时，其最终的结果依赖于进程或者线程执行的精确时序。

举个栗子，如果在“PUK 重置组件”的模块调用.dismiss () 函数之前，就有操作改变了当前的安全屏幕，那么.dismiss () 函数就可能误解锁指纹锁屏。

关键来了，由于手机 SIM 卡状态是随时更新的（系统一直在监视 SIM 卡状态），因此如果 SIM 卡状态发生变化，系统也会更新当前的安全屏幕。

所以一旦“PUK 重置组件”成功调用了.dismiss () 函数，它就会在解锁 PUK 屏幕之前，直接先解锁了指纹锁屏！

根据谷歌公开的漏洞报告，它在 Android 10 到 Android 13 系统中都可能出现：



当然，也有网友测试发现，Android 11 似乎不受影响，而是在 Android 12 中出现了。



还有网友发现三星手机也“逃过一劫”：



现在，安卓工程师们重构了.dismiss () 函数，简单来说就是给它打个小小的补丁，让它只能解锁带有“SimPuk”标记的安全屏幕（也就是只能解除手机锁定屏幕）。

小哥本人对此没有异议，但也有网友认为，这不是这次漏洞的最优解：

metaverse

手机没弄丢就安全

外太空人

我是安卓12，等更新⊙_⊙

mifanu

所以，是不是换张sim卡，手机就解锁了？

安全强迫症

mifanu 发表于 2022-11-13 14:03
所以，是不是换张sim卡，手机就解锁了？

大概是反复插卡，然后等时序混乱出现吧。

tao8023yy

三星受影响么。

qaqaz

鸿蒙有这个bug吗