長達六個月未修復的重大 Android 漏洞
圖片來源
2022 年夏天,網路安全專家 David Schütz 在外奔波一天,他的 Google Pixel 6 手機電力即將耗盡。當他回到家想要發送一封簡訊時,手機恰好沒電而突然關機。Schütz 急忙找出充電器,重新開機後,被要求輸入 SIM PIN 碼,而他不小心輸錯了 3 次 PIN 碼,想當然爾,SIM 卡被鎖住了 — 這時得輸入 PUK 碼才能解鎖。當他輸入 PUK 碼,並設定新的 SIM 卡密碼後,還沒有輸入開機密碼或掃描指紋,手機就自動解鎖了!
一般人可能覺得這沒什麼,反正手機可以啟動就好,然後繼續生活。然而 Schütz 是名對於軟體或設備執行異常相當敏銳的專業人員。他想要弄清楚,為何他的手機重新開機後不再需要輸入密碼就能解鎖。在重複試驗數遍後,他發現,只要自上鎖的 Android 手機中取出 SIM 卡,重新插入,輸入錯誤的 PIN 碼三次,再輸入 PUK 碼,就可以繞過手機鎖定,直接進入主畫面!甚至任何人都可以直接將 Google Pixel 6 手機內原有 SIM 卡換上自己的 SIM 卡,輸入錯誤的 PIN 碼三次後,再輸入預設的 PUK 回復碼,繞過 Android 的螢幕鎖定保護。Schütz 在他的部落格上詳細說明此一發現,並趕緊通報 Google,但若以為 Google 很快就會修復這個錯誤,那就誤會了。這個嚴重的安全漏洞威脅大量使用 Android(版本 11 到 13)的智慧型手機將近半年 – 從 6 月到 11 月!
簡單來說,此漏洞可以繞過鎖定螢幕,就算不知道密碼,也能取用手機上所有資料。這個漏洞根本沒用到複雜的攻擊機制,只要輸入 SIM 卡 PUK 碼(甚至插入任何一張 SIM 卡都可以)就足以騙過 Pixel 6 及 Pixel 5 手機的防護而允許存取,不會進一步顯示螢幕鎖。其他 Android 裝置也有同樣的問題。Android 智慧型手機有多個鎖定畫面,包括輸入密碼的畫面、掃描指紋的提示,及輸入 SIM PIM 的視窗。成功通過其中一項畫面的安全驗證,會觸發下一個鎖定畫面出現。但是到了輸入 PUK 碼這個畫面,會導致「關閉螢幕鎖」的功能被呼叫兩次,因此手機沒有顯示指紋掃描畫面,而是直接解鎖。
為何這麼嚴重的漏洞花費了將近六個月的時間解決?當時 Schütz 透過 Google 的漏洞獎勵計畫,向 Google 通報了這個漏洞。根據此項計畫的原則,若發現繞過多個甚至全部螢幕鎖定畫面的漏洞,可以獲得高達 100,000 美元獎金獎勵。可是 Schütz 並沒有收到獎金,因為 Google 指出這個漏洞先前已有人報告過,不符合獎勵原則。
Schütz 無奈地接受這個回答。他想,既然已有人回報,這個漏洞應該很快就會被 Google 修復。但是直到 9 月(在他通報漏洞後過了三個月),他發現仍然可以利用這個 SIM 卡技巧繞過螢幕鎖定。剛好 Schütz 參加了 Google 在 9 月舉辦的一場安全研討活動,他在好幾位 Google 工程師面前,當場示範如何簡單繞過解鎖機制就能開機,於是,在 Android 的 11 月更新中終於修補了這個漏洞。最終 Schütz 獲得了 70,000 美元獎金。
儘管早先已有他人回報,但 Google 沒有認真看待這個錯誤。待 2022 年 6 月 Schütz 提出報告時,Google 也沒有任何回應。唯有等到與工程師面對面後,這個漏洞才得以關閉。
身為智慧型手機的使用者,以為開發人員都會優先處理嚴重錯誤並迅速關閉。但這項 Android 這項漏洞卻告訴我們,事實並非總是如此。