梦入神机,天下高月小说,古风小说君子以泽

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

速查！安卓系統(tǒng)可能遭遇重大風(fēng)險，兩分鐘可輕松破解鎖屏

安卓系統(tǒng)可能遭遇了重大安全風(fēng)險，只要能拿到對方的手機，就有可能輕松破解手機的鎖屏密碼。

創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司，提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)，網(wǎng)頁設(shè)計，建網(wǎng)站，PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);可快速的進行網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展；專業(yè)做搜索引擎喜愛的網(wǎng)站，是專業(yè)的做網(wǎng)站團隊，希望更多企業(yè)前來合作!

一次偶然的機會，國外網(wǎng)絡(luò)安全研究員 David Schütz發(fā)現(xiàn)了一種極為簡單的繞過谷歌Pixel 6 和 Pixel 5 智能手機的鎖屏的方法，任何拿到手機的用戶都可以解開手機。

整個過程只需要簡單的五個步驟，大概兩分鐘的時間。雖然谷歌針對這個問題已經(jīng)發(fā)布了Android 更新，而在更新之前，這個鎖屏漏洞持續(xù)存在超過五個月的時間。

五步直接繞過Android鎖屏

Schütz表示，他是在自己的Pixel 6 電池沒電、輸錯 3 次 PIN 并使用 PUK（個人解鎖密鑰）代碼恢復(fù)鎖定的 SIM 卡后，發(fā)現(xiàn)了這個漏洞。

令他驚訝的是，在解鎖 SIM 卡并選擇新的 PIN 碼后，設(shè)備并沒有要求輸入鎖屏密碼，而只是要求進行指紋掃描。

出于安全原因，Android 設(shè)備在重新啟動時總是要求輸入鎖屏密碼或圖案，因此直接進行指紋解鎖不正常。

Schütz繼續(xù)進行試驗，當他嘗試在不重啟設(shè)備的情況下重現(xiàn)漏洞時，他認為也可以繞過指紋提示，直接進入主屏幕。

總的來說，對于該漏洞的利用主要有以下五個步驟。

提供三次錯誤指紋以禁用鎖定設(shè)備上的生物特征認證；
將設(shè)備中的 SIM 卡與設(shè)置了 PIN 碼的攻擊者控制的 SIM 卡熱交換；
提示輸入錯誤的 SIM 卡密碼三次，鎖定 SIM 卡；
設(shè)備提示用戶輸入 SIM 的個人解鎖密鑰 (PUK) 碼，這是一個唯一的 8 位數(shù)字，用于解鎖 SIM 卡；
為攻擊者控制的 SIM 輸入新的 PIN 碼。

漏洞影響廣泛

該安全漏洞的影響十分廣泛，幾乎所有未更新2022年11月補丁的，運行 Android 10、11、12 、13 版本的手機都受到影響，這是一個無法想象的數(shù)量。

雖然這個漏洞利用需要對拿到對方的手機，但是這依舊會產(chǎn)生巨大的影響，尤其是對于那些虐待他人、接受調(diào)查、手機丟失的用戶來說，影響十分嚴重。

該問題是由于 SIM PUK 解鎖后鍵盤鎖被錯誤地關(guān)閉引起的，原因是關(guān)閉調(diào)用的沖突影響了在對話框下運行的安全屏幕堆棧。

當 Schütz 輸入正確的 PUK 號碼時，“解除”功能被調(diào)用兩次，一次由監(jiān)視 SIM 狀態(tài)的后臺組件調(diào)用，另一次由 PUK 組件調(diào)用。

這不僅會導(dǎo)致 PUK 安全屏幕被取消，還會導(dǎo)致堆棧中的下一個安全屏幕（鍵盤鎖）被取消，隨后是堆棧中下一個排隊的任何屏幕。如果沒有其他安全屏幕，用戶將直接訪問主屏幕。

谷歌的解決方案是為每個“關(guān)閉”調(diào)用中使用的安全方法包含一個新參數(shù)，以便調(diào)用關(guān)閉特定類型的安全屏幕，而不僅僅是堆棧中的下一個。

2022年6月， Schütz 向谷歌報告了這一安全漏洞，編號 CVE ID CVE-2022-20465，但是直到2022年11月7日，谷歌才正式對外公布了該漏洞的修復(fù)補丁。另外，因為這個安全漏洞， Schütz 獲得了谷歌的7萬美元的高額獎勵。

參考來源

https://www.bleepingcomputer.com/news/security/android-phone-owner-accidentally-finds-a-way-to-bypass-lock-screen/安卓系統(tǒng)可能遭遇了重大安全風(fēng)險，只要能拿到對方的手機，就有可能輕松破解手機的鎖屏密碼。

五步直接繞過Android鎖屏

Schütz表示，他是在自己的Pixel 6 電池沒電、輸錯 3 次 PIN 并使用 PUK（個人解鎖密鑰）代碼恢復(fù)鎖定的 SIM 卡后，發(fā)現(xiàn)了這個漏洞。

令他驚訝的是，在解鎖 SIM 卡并選擇新的 PIN 碼后，設(shè)備并沒有要求輸入鎖屏密碼，而只是要求進行指紋掃描。

出于安全原因，Android 設(shè)備在重新啟動時總是要求輸入鎖屏密碼或圖案，因此直接進行指紋解鎖不正常。

Schütz繼續(xù)進行試驗，當他嘗試在不重啟設(shè)備的情況下重現(xiàn)漏洞時，他認為也可以繞過指紋提示，直接進入主屏幕。

總的來說，對于該漏洞的利用主要有以下五個步驟。

提供三次錯誤指紋以禁用鎖定設(shè)備上的生物特征認證；
將設(shè)備中的 SIM 卡與設(shè)置了 PIN 碼的攻擊者控制的 SIM 卡熱交換；
提示輸入錯誤的 SIM 卡密碼三次，鎖定 SIM 卡；
設(shè)備提示用戶輸入 SIM 的個人解鎖密鑰 (PUK) 碼，這是一個唯一的 8 位數(shù)字，用于解鎖 SIM 卡；
為攻擊者控制的 SIM 輸入新的 PIN 碼。

漏洞影響廣泛

該安全漏洞的影響十分廣泛，幾乎所有未更新2022年11月補丁的，運行 Android 10、11、12 、13 版本的手機都受到影響，這是一個無法想象的數(shù)量。

該問題是由于 SIM PUK 解鎖后鍵盤鎖被錯誤地關(guān)閉引起的，原因是關(guān)閉調(diào)用的沖突影響了在對話框下運行的安全屏幕堆棧。

當 Schütz 輸入正確的 PUK 號碼時，“解除”功能被調(diào)用兩次，一次由監(jiān)視 SIM 狀態(tài)的后臺組件調(diào)用，另一次由 PUK 組件調(diào)用。

參考來源：https://www.bleepingcomputer.com/news/security/android-phone-owner-accidentally-finds-a-way-to-bypass-lock-screen/

新聞名稱：速查！安卓系統(tǒng)可能遭遇重大風(fēng)險，兩分鐘可輕松破解鎖屏
分享路徑：http://fisionsoft.com.cn/article/dpcsips.html

新聞中心

五步直接繞過Android鎖屏

漏洞影響廣泛

參考來源

五步直接繞過Android鎖屏

漏洞影響廣泛

其他資訊