Android 5.x 锁屏绕过 (CVE-2015-3860)

阅读量199394

|

发布时间 : 2015-09-17 10:01:13

x
译文声明

本文是翻译文章,文章来源:默白@360安全播报

原文地址:http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/

译文仅供参考,具体内容表达以及含义原文为准。

https://p2.ssl.qhimg.com/t01b3e243ebc690566a.jpg

在Android的5.x版本中存在一个漏洞,5.x<= 5.1.1(在LMY48M前建立),该漏洞允许攻击者让锁屏崩溃从而成功完全进入一个锁定的设备,即使该设备上启用加密。当相机应用在无需解锁就可用使用时, 通过在密码字段内操纵一个足够大的字符串,攻击者能够破坏锁屏,从而使其主屏幕崩溃。在这一点上任意的应用程序可以运行或adb的开发者能够访问来获得对该设备的全部权限,并且暴露该设备中包含的任何数据。

2015年9月:锁屏的提权漏洞(cve-2015-3860)

链接:https://groups.google.com/forum/#!topic/android-security-updates/1M7qbSvACjo

攻击需要以下条件:

攻击者必须对设备进行物理访问

用户必须设置密码(模式/引脚配置不可利用)

视频演示如下:

攻击流程:

1. 从锁屏打开紧急呼叫窗口。

http://p9.qhimg.com/t019e0fbe8595f53af5.png

2.键入几个字符,例如10个星号。双击文字来突出它们,点击复制按钮。然后点击,一旦进入界面则点击粘贴,使字段中的字符增加一倍。重复这一使用标识记号的过程,复制,粘贴以至于字段长到双击不再可以添加,这通常需要重复11次左右。

t016e5ffb16dd473ac8.png

t01fd88fc01cab54a5b.png

http://p3.qhimg.com/t016d4f3996f43b229d.png

http://p2.qhimg.com/t0111bc543c232649b9.png

https://p4.ssl.qhimg.com/t013cbb4084d4430d2b.png

3. 回到锁屏,然后向左滑动打开相机。从屏幕顶部向下滑动,把通知栏拉下来,然后点击右上角的设置(齿轮)图标。这会导致密码提示出现。

http://p6.qhimg.com/t01f4c173f4423d6035.png

t01a8df926a352f5309.png

http://p2.qhimg.com/t01b8e95495262459ec.png

4. 在密码行内多次点击,然后将字符粘贴到密码行内。继续长按光标,然后尽可能多的次数进行特殊字符(比如星号)粘贴,直到你发现UI崩溃,然后在屏幕的底部的软件按钮消失,扩大摄像头至全屏。获得粘贴按钮,从而增长字符串。作为一个提示,始终确保光标是在字符串的最末端(你可以双击,以突出显示所有,然后点击按键,朝着终点的方向快速移动光标),多次点击使得光标尽可能接近中心。为了获得粘贴按键,多次点击,这将可能会比平常花费更多的时间。

http://p9.qhimg.com/t01e09062dce74e6259.png

http://p7.qhimg.com/t0124bb0fe60032be30.png

t0130c28caf1b9d161b.png

t01a6de41246487014b.png

5.等待相机应用程序崩溃,并且显示出主屏幕。这一持续时间以及这一步骤的结果可能会差别很大,但是相机应该最终会崩溃并且暴露出敏感功能。你应该注意到相机的滞后性,随着它试图专注于新的对象。尽管通过硬件按键加速拍照这一过程不是严格要求的,但我们仍然可以选择这样做。如果由于不操作使得屏幕关闭,我们只需要重新打开它,然后继续等待。在某些情况下,摄像头的应用程序将会直接崩溃,使得全屏幕如下图所示,而其他时候,它可能会在主屏幕上呈现崩溃的一部分,这将在前面概念演示视频中交替证明。

https://p4.ssl.qhimg.com/t01a6de41246487014b.png

https://p5.ssl.qhimg.com/t01fda9dc1cdfb0d204.png

https://p5.ssl.qhimg.com/t01bfa83921bd4bbce2.png

6. 通过任何手段尽可能的导航到设置程序,例如,通过点击在底部中心的应用程序抽屉按钮,并在应用程序列表中找到它。在这一点上可以启用USB进行正常调试(关于手机>点击次数7次,返回,开发者选项> USB调试),通过ADB开发工具来发布任意命令,或者通过设备拥有者拥有设备的所有权限,获得该设备上所有文件的访问权限,最终成功的完全进入设备。

t01c010c9a46785b607.png

http://p4.qhimg.com/t018df22cf69b622d52.png

http://p1.qhimg.com/t01cb5a581894a0d849.png

时间轴:

2015年6月25日:漏洞私下报告给安卓的安全团队。 
2015年7月1日:安卓证实漏洞可以被复现,定义漏洞危害程度低。 
2015年7月15日:安卓系统将问题严重提升到中等程度。 

2015年8月13日:安卓承诺补丁修复漏洞。 

2015年9月9日:安卓发布包含修复5.1.1版本LMY48M。 
2015年9月14日:安卓 公开漏洞 。 
2015年9月15号:UT ISO发布此书面记录。

本文翻译自默白@360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
默白
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66