[情報] Android 11月更新修復螢幕鎖定繞過漏洞
看起來板上還沒有相關文章(還是刪掉了?),提醒鄉民們稍微注意一下:
11 月的 Android 安全性更新修復了在開機並解鎖過一次後,於鎖定狀態插入有啟用 PIN 碼的 SIM 卡、故意輸入錯誤的 PIN 後輸入 PUK 碼的方式繞過原本手機鎖定畫面的漏洞 CVE-2022-20465 ;
觸發漏洞的方法如影片所示,準備一張知道 PUK且有打開 PIN 的 SIM 卡、退卡針並能直接操作漏洞的手機,即可繞過鎖定畫面:
https://youtu.be/dSgSnYPgzT0
技術細節:
https://bit.ly/3EozD1h
https://feed.bugs.xdavidhu.me/bugs/0016
主要起因為鎖定畫面 (security screen) 的解除方式會在 SIM PUK 解鎖過程中產生 race condition。
雖然漏洞回報者是在 Pixel 6 和 Pixel 5 上重現,但目前公告看起來會影響不少 Android 10 和以上的裝置(包含先前已經停止安全性更新的舊 Pixel 和其他廠牌手機),因為有問題的程式碼在 AOSP 上;
雖然部分加密的使用者資料不會因此解鎖,但在收到更新前還是避免手機隨意放在別人可以拿到的地方會比較好,能安裝 2022 年 11 月等級安全更新的手機則可以考慮做好備份並盡快更新。
--
那些能發現漏洞的人真神
也就是說還沒輸入解鎖密碼 android就幫你解鎖分區lol
剛開機還沒解鎖過只會卡在「正在啟動 Android...」,沒辦法正確解密分割區 也因此作者建議的緩解方法中有離開手機時把手機關機
※ 編輯: v72807647 (42.73.30.148 臺灣), 11/11/2022 18:11:52其實沒有解鎖需要密碼的部分
有分 DE 跟 CE
借問一下各位大大 這漏洞是YO叔發現回報的嗎?
喔不對 應該是要開著機已經被解鎖分區了 換sim卡 故意
輸錯pin 然後輸puk 成功繞過螢幕鎖 這樣可能才有最多
的權限可以用
yoyodiy最新力作
試了一下 mi13 9月更新繞不過去
YOYODIY靠這招賺了七萬鎂
發現並提交漏洞的經過可以看這篇 https://is.gd/gklrog
作者說他六月就提交了 結果google回他早就有人提交了 沒給他
6月拖到11月也是蠻厲害的
獎金(能在多個pixel上運作的BUG可以拿到十萬鎂) 後來他九
月多發現仍然沒有被修復 他跟google講他10月15就要公佈這個
BUG google才給他七萬鎂 然後預計在11月patch上修復這個bug
相關團隊在剛開始處理這個問題確實非常消極; 雖然後續處理作者還是給不錯的評價,但消費者信心仍可能會有點不足
現在sony插卡還會重開機嗎
以這次事件看起來,插卡就馬上重開機意外是不錯的設計
也不知道是不是真的有人比他早跟google回報 嘻嘻
BUG=有多個安全畫面時 呼叫.dismiss()時會全部關掉
發現也太屌
跟前幾篇的pixel 保固客服異曲同工之妙
不愧是yoyodiy
yo叔又調皮了
@doom3 謝謝解釋
推繞神yo叔 無所不繞 真的強
yo叔真厲害一直繞
好扯的漏洞
能發現這漏洞真的不簡單 感謝這位大神
不過這漏洞其實也有些誇張就是了
厲害了yo叔
Google 安全性可笑啊
這不是進Google 必考題嗎。怎麼只會刷題,進去就忘了喔
這題的確有手機廠二月解了並透過人員回報GOOGLE
只是必現問題為何GOOGLE遲遲沒修我也不清楚
45
[心得] 免Root去Google化,打造開源手機不Root不刷機,完整的去Google化,打造開源、安全、隱私的Android手機 把Android手機的Google服務拔光光。 網誌好讀版: 本文參考自Reddit r/degoogle板的貼文 (這專板各種反Google): 100% FOSS Smartphone Hardening non-root Guide 4.062
[情報] Pixel 系列手機6月份更新Pixel每個月定期推送的安全性更新來囉,更新檔約221MB,更新時間80分鐘 更新內容: bug修復、安全性更新 還有feature drop新功能52
[問題] ZF7更新Android 12後疑似死機(更新狀況)機子是前年十月購入得,雖然當時有送半年延伸保固 但最近剛好過保不久,手機就初四了 前天半夜更新完Android 12, 昨天一天還沒來得及多摸索, 今天早上上班途中YT播一播突然斷線了,37
[情報] Pixel系列手機5月份安全性更新Pixel每個月定期推送的安全性更新來囉,更新檔約33.7MB,更新時間80分鐘 安全性更新內容: 補充1:Pixel 3a系列手機將於2022.07最後一次更新33
[情報] Pixel 系列手機11月份定期更新Pixel每個月定期推送的更新來囉,檔案約13MB 機翻更新內容: 電池充電 修復了在安裝某些應用程序時導致功耗增加的問題 *[1]30
[情報] Pixel 6系列手機臨時更新Pixel 6系列臨時更新來囉,更新檔約1MB,更新時間80分鐘 Pixel 6系列: 位置和 GPS 修復特定條件下 GPS 定位失敗的問題。24
Re: [討論] ZF7收到android 12系統更新趁今天放假把自己手上的ZF7更新到Android12(怕平日更新結果害隔天上班鬧鐘沒響), 這邊統整一下遇到的問題和解決方案。有些其實原文中的推文也有提及, 就順便一起整理在這邊。 1.Q:桌布比未升級前(Android11時)暗? A:這個是深色模式造成的,在選項/顯示,該頁面中有個顯示調整的區塊,找到其中的21
[情報] Pixel 系列手機10月定期更新Pixel每個月定期推送的安全性更新來囉,更新檔約38MB 機翻更新內容: 聲音的 -修復了在使用有線耳機時在通話期間偶爾會導致聽到嗡嗡聲或噪音偽影的問題 *[1]20
[情報] Pixel 系列手機9月份定期更新Pixel每個月定期推送的安全性更新來囉,更新檔約28MB 機翻更新內容: 電池充電 修復了偶爾會導致某些啟動器後台活動增加電池消耗的問題
23
[心得] ZF11U 7天體驗及AI使用分享25
[心得] Mean Well明緯NGE100U 100W 4埠GaN充電器11
[購機] 20K 4G分享機10
Re: [討論] 新版Ipad air vs ipad pro 20227
[問題] 無框轉中華有什麼好選擇嗎6
[問題] 觸控筆畫曲線變折線有沒有辦法處理3
[問題] ROG3使用者想問目前大概多少價位的手機能體驗不變32
[問題] 手機記憶體6G跟8G 會差很多嗎3
[問題] 故障手機怎麼處理?2
[討論] 手機回復原廠設定後資料就消失對吧1
[問題] 手機的行事曆通知3
Re: [購機] 影音平板請益X
[討論] 碩機賣那麼貴 保幾年更新?16
[閒聊] 充電器統一規格前 是什麼樣的世界?