Pixel-puhelinten haavoittuvuus mahdollisti pääsykoodin ohituksen SIM-kortilla kikkailemalla

[Diizzel]

Diizzel kirjoitti uutisen/artikkelin:
Pixel-puhelimista löydetty ja marraskuun tietoturvapäivityksissä korjattu haavoittuvuus on mahdollistanut puhelinten pääsykoodin ohittamisen murtautujan omaa SIM-korttia käyttämällä. Käytännössä puhelimen suojauksen on voinut ohittaa, mikäli puhelimeen on vain päässyt käsiksi, sillä pääsykoodin ohittaminen tapahtuu lukitsemalla sormenjälkivahvistus, vaihtamalla SIM-kortti ja lukitsemalla uusi SIM, minkä jälkeen PUK-koodin syöttämällä puhelin ohittaa lukitusruudun kokonaan.

Haavoittuvuus on koskenut kaikkia puhtaaseen AOSP-Androidiin pohjautuvia käyttöjärjestelmiä Googlen Pixel -puhelinten lisäksi, eli muun muassa useat custom ROM:it ovat myös haavoittuvuuden kohdelistalla. Lisäksi ainakin Microsoft Surface Duo, Zenfone 9:n on kerrottu auenneen haavoittuvuuden mukaisille toimenpiteillä lukitusruudustaan käyttöön.

Kokeilimme toisintaa haavoittuvuuden Nokia X30:llä, jossa on käytössä syyskuun tietoturvakorjaukset, mutta kyseisellä laitteella emme kyenneet haavoittuvuutta toistamaan. Tästä huolimatta ainakin osa HMD Globalin puhelimista vaikuttaisi olevan haavoittuvuudella alttiita, sillä Nokia-laitteiden bootloaderin avaustyökalusta tunnettu Hikari_Calyx on Twitterissä kertonut ainakin Nokia 6.1:n Android 9:llä ja Android 10:llä auenneen SIM-kortilla kikkailemalla.



Google on korjannut haavoittuvuuden marraskuun tietoturvapäivityksissä, jotka on jaettu tuoreimman Android 13:n lisäksi myös Android 12, 11 ja 10 -versioille. Tietoturvapäivitysten jakelu puhelimiin on kuitenkin valmistajan vastuulla, eli osaan puhelimista päivityksen saapumisessa voi kestää pidempään ja osalle laitteista päivityksiä ei enää välttämättä toimiteta.

Lähteet: 9to5Google, David Schütz @ YouTube, Flying Antero @ TechBBS, Hikari Calyx Tech Main @ YouTube, Hikari_Calyx@Twitter

Linkki alkuperäiseen juttuun

 

[FlyingAntero]

Onneksi haavoittuvuus ei vaikuttaisi olevan niin laaja kuin miltä aluksi näytti. Toistaiseksi en ole nähnyt raportteja muilla kuin Pixel-laitteilla, vaikka mitään estettä sille ei ole, etteikö muut valmistajat voisi olla alttiita. Kaikki riippuu siitä, onko OEM-valmistaja käyttänyt AOSP-koodia suoraan vai muokannut sitä. Henk. koht. veikkaan, että pienillä valmistajilla (Cubot, Unihertz jne.) haavoittuvuus saattaa löytyä mutta isot valmistajat ovat sitten muokanneet kyseistä koodia ja aukkoa ei ole.


Custom ROMeista haavoittuvuus sitten löytyy, jos perustuvat AOSP:iin, kuten Lineage OS. Vaikka Google toi korjauksen Android 10 versiosta lähtien, niin Lineage OS:ssa haavoittuvuus on vain LOS 19.1 (Android 12) ja LOS 20.0 (Android 13) versioissa.

• Just tried it myself, works on Android 12, doesn't work on Android 11. Both Line... | Hacker News

Just tried it myself, works on Android 12, doesn't work on Android 11. Both LineageOS, so the bug was introduced somwhere in AOSP 12.

• r/Android - Comment by u/dittani on ”Accidental $70k Google Pixel Lock Screen Bypass”

LG V35 not vulnerable. Android 9 Feb 1, 2020

Pixel 1 on final Oct 2019 update not vulnerable. (Android 10)

Pixel 2 on LineageOS 19.1 Nov 8 build is vulnerable. (Android 12)

*Pixel 1 on LineageOS 18.1 Oct 22 build is not vulnerable. (Android 11)

 

[FlyingAntero]

@Juha Kokkonen @Diizzel
No nyt niitä raportteja on alkanut tulemaan myös muiden valmistajien laitteilla. Hmd Globalin puhelinten epävirallisesta bootloaderin lukituksen avaustyökalusta tunnettu Hikari_Calyx on raportoitunut haavoittuvuuden Nokia 6.1 Plus (Android 9 ja 10 firmwaret) laitteella.



Redditissä oli raportti myös Xperia 5 II puhelimesta (Android 12).

• r/Android - Comment by u/drthrax07 on ”Accidental $70k Google Pixel Lock Screen Bypass”

Tried this on Xperia 5 II Oct 2022 Patch still vulnerable

Edit: Myös Microsoft Surface Duo on haavoittuvainen .

 

[TenderBeef]

Jesus sentään mitä aukkoja jatkuvasti kaikissa laitteissa/palveluissa. Turha kait kuvitella, että ikinä olisi tiedot turvassa millään laitteella.

 

[Letuk]

Galaxy A40 10/2019 uuteen puhelimeen tuli tehtyä uusi google tili testi mielessä ja salasana/avaus koodi tietenkin unohtui. Löysin tuolloin googlella ohjeet ja sain puhelimen ja google tilin resetoitua. Pöytälaatikosta löytyi tarpeeton moi winback sim-kortti joka täytyi lukita 3 yrityksellä, ei ole tarkkaa mielikuvaa miten homma toimi, mutta pelkällä sim-kortilla ohitus onnistui.

 

[FlyingAntero]

@Juha Kokkonen @Diizzel
Testasin äsken, niin uutisen haavoittuvuus löytyy myös Zenfone 9 puhelimesta (stock) ja F(x)tec Pro1 puhelimesta Lineage OS 19.1 custom ROM:lla.

• Zenfone 9: Android 12.1, tietoturvataso 1.10.2022
• F(x)tec Pro1: Android 12.1 (Lineage OS), tietoturvataso 5.10.2022

Kyseessä on mielestäni todella vakava haavoittuvuus, kun hyökkääjä voi toteuttaa sen esim. 4,90€ maksavalla prepaid liittymällä päästessään laitteeseen käsiksi. Varastettuun/löydettyyn puhelimeen saattaa siis päästä hyvin matalalla kynnyksellä käsiksi, kun aukko näyttää loppujen lopuksi löytyvän useamman valmistajan puhelimesta.




Tuoreimmat puhelimet saavat luonnollisesti korjauksen päivityksellä mutta esim. kaksi vuotta sitten julkaistu Sony Xperia 5 II saattoi juuri saada viimeinen päivityksensä eikä todennäköisesti päivity enää marraskuun tietoturvatasolle. (Edeltävä Xperia 5 sai päivityksiä tasan 2v ja viimeinen päivitys jätti laitteen lokakuun 2021 tietoturvatasolle). Muilla valmistajilla on varmasti vastaavia tilanteita ja mm. Googlen Pixel 4 puhelimet (julkaistu 2019) jäävät näillä näkymin haavoittuviksi ellei Google päätä jatkaa laitteiden päivitystukea vielä kuukaudella. Joskus Google on näin tehnyt aiemmilla Pixel luureilla.

• Last Google Pixel 2 and Pixel 2 XL update coming in December

 

[Reason]

Harvoin näitä tulee, mutta tässä on kyllä sellainen haavoittuvuus, jota tullaan oikeasti hyödyntämään kaikenlaiseen haitalliseen. Kuinkahan moni tästä edes kuulee, tai varsinkaan ymmärtää vakavuuden. Samalla huomaa, kuinka pirstaleinen ja laitekohtainen Android edelleen on.

 

[FlyingAntero]

Testasin myös Galaxy A32 4G puhelimen (tietoturvataso 1.10.2022), niin siinä haavoittuvuutta ei ole kuten Samsungin luureista on raportoitu.

• Nasty vulnerability shows Galaxy phones can be safer than Google Pixels

One UI:n PIN lukitusruutu on myös ulkoisesti erilainen kuin Asuksella ja Lineage OS:ssa, niin ovat varmaan muokanneet koodia aika paljon ja sen vuoksi haavoittuvuutta ei ole. Asuksen lukitusruutu on Lineage OS:n tapaan hyvin pelkistetty AOSP tyylinen.

Se on vähän erikoista, että joillakin HMD Globalin puhelimilla haavoittuvuus löytyy mutta ei kaikilla. Yksi teoria voisi olla, että FIH Mobilen aikaiset Nokiat ovat haavoittuvia mutta uudemmat eri ODM-kumppanien valmistamat puhelimet puolestaan ei. FIH Mobilen aikaan Nokia oli vielä vahvemmin "stock" Android Onen myötä.

• Large number of modern phones, including Nokia, are designed by ODM companies | Nokiamob

Olisi kyllä mielenkiintoista tietää, kuinka laaja ongelma loppujen lopuksi on. Asus ja Sony näyttävät olevan haavoittuvia mutta mikähän on tilanne Motorolalla, joka käyttää AOSP henkistä Androidia?

 

[Admiral General Aladeen]

Olen ollut Android-mies WindowsPhone Lumioiden kuoppaamisesta lähtien, mutta kyllä se taas välillä mietityttää, että pitäisikö ihan itse kuopata nämä Googlen keskeneräiset viritelmät ja siirtyä siihen viimeiseen leiriin mikä edelleen jatkaa kilpailijana. Google, Chrome, Android, jne sen palvelut ovat aivan liian yliedustettuja kaikissa haavoittuvuuksissa.

 

[TenderBeef]

Kyllä siellä aidan toisella puolella on myös ollut ongelmia, varsinkin viime aikoina aika reippaasti.

 

[Juha Kokkonen]

Olisi kyllä mielenkiintoista tietää, kuinka laaja ongelma loppujen lopuksi on. Asus ja Sony näyttävät olevan haavoittuvia mutta mikähän on tilanne Motorolalla, joka käyttää AOSP henkistä Androidia?

Kokeilin temppua Sony Xperia 10 mk III:lla ja Motorola Edge 30 Ultralla, eikä kummassakaan päässyt videon ohjeilla lukitusnäytön ohi.

 

[FlyingAntero]

Kokeilin temppua Sony Xperia 10 mk III:lla ja Motorola Edge 30 Ultralla, eikä kummassakaan päässyt videon ohjeilla lukitusnäytön ohi.

Hmm, aika erikoista ettei Xperia 10 III:lla onnistu, kun Xperia 5 II:lla raportoitu onnistuvan . Voisiko SIM kortillakin olla vaikutusta? Twitterissä tuli alla oleva kommenttiaö vastaan. Itse kokeilin DNA:n prepaidilla.

 

[Juha Kokkonen]

Hmm, aika erikoista ettei Xperia 10 III:lla onnistu, kun Xperia 5 II:lla raportoitu onnistuvan . Voisiko SIM kortillakin olla vaikutusta? Twitterissä tuli alla oleva kommenttiaö vastaan. Itse kokeilin DNA:n prepaidilla.

En tiedä, samaa mietin vaikka videolla ei SIM-kortin vaatimuksista ole sen tarkempaa mainintaa.

 

[root]

Oma veikkaus on race condition -tyylinen bugi. SIM-korteissa on eroja nopeudessa ja mitä se kortin prosessori puuhailee avatessaan tietoja luettavaksi kun PIN-haaste on läpäisty. Tieto on talletettu tiedostojärjestelmää muistuttavaan rakenteeseen kortilla.

Tuo on haastava homma koodata ja testata muutenkin, koska hätäpuhelun täytyy toimia lukitusruudulta. Hätäpuhelun avulla on aiemmin ohitettu lukituksia.

 

[FlyingAntero]

Tänään tuli F(x)tec Pro1 puhelimeen uusin Lineage OS 19.1 Nightly marraskuun tietoturvapaikkauksilla ja siinä haavoittuvuus on korjattu. Ei päässyt enää lukitusruudun ohi SIM kortilla, kun kokeilin.

 

[love_doctor]

Oma veikkaus on race condition -tyylinen bugi. SIM-korteissa on eroja nopeudessa ja mitä se kortin prosessori puuhailee avatessaan tietoja luettavaksi kun PIN-haaste on läpäisty. Tieto on talletettu tiedostojärjestelmää muistuttavaan rakenteeseen kortilla.

Tuo on haastava homma koodata ja testata muutenkin, koska hätäpuhelun täytyy toimia lukitusruudulta. Hätäpuhelun avulla on aiemmin ohitettu lukituksia.

Kahden loogisen asian erottelu ajallisesti ei kyllä nykyisillä (1970-luvulta asti on ollut tiedossa promiset ja futuret) ohjelmointimalleilla ole ihan mahdoton tehtävä. Androidilla on jopa näitä hyödyntäviä ohjelmointikieliä. Kilpailutilanteet olivat bugeina todennäköisempiä kun koodarin vastuulla oli huolehtia mutekseista jne. - sitten päälle vielä GUI-kehikon tapahtumasilmukat ja muut.

 

[FlyingAntero]

@Diizzel @Juha Kokkonen
Oliko teillä käytössä uusi vai vanha SIM-kortti? Twitterissä sain vahvistuksen käyttäjältä d_a_n_i_e_l_w, että hyökkäys onnistui nimenomaan uudella prepaid kortilla (kuten minulla). Eli vaatimuksena saattaa olla uusi kortti tai prepaid kortti (vaiko molemmat ).



Haavoittuvuuden löytäneellä David Schützilla saattoi olla myös prepaid, sillä hänellä PUK koodi oli kortin takana. Ainakin DNA:lla omissa korteissa PUK koodi on vain prepaidin takana ja kk-maksu liittymässä saatavilla vain DNA:lta tai verkkopalvelusta. (Valitettavasti en ole oman kk-maksu liittymän omistaja, niin en pääse käsiksi kyseisen liittymän PUK koodiin helposti testausta varten).

Spoileri: Vertailu: kk-maksu ja prepaid

Alempi kortti on prepaid

• Accidental $70k Google Pixel Lock Screen Bypass

After jumping into my closet and somehow finding the SIM’s original packaging, I scratched off the back and got the PUK code.

 

[Diizzel]

@Diizzel @Juha Kokkonen
Oliko teillä käytössä uusi vai vanha SIM-kortti? Twitterissä sain vahvistuksen käyttäjältä d_a_n_i_e_l_w, että hyökkäys onnistui nimenomaan uudella prepaid kortilla (kuten minulla). Eli vaatimuksena saattaa olla uusi kortti tai prepaid kortti (vaiko molemmat ).



Haavoittuvuuden löytäneellä David Schützilla saattoi olla myös prepaid, sillä hänellä PUK koodi oli kortin takana. Ainakin DNA:lla omissa korteissa PUK koodi on vain prepaidin takana ja kk-maksu liittymässä saatavilla vain DNA:lta tai verkkopalvelusta. (Valitettavasti en ole oman kk-maksu liittymän omistaja, niin en pääse käsiksi kyseisen liittymän PUK koodiin helposti testausta varten).

Spoileri: Vertailu: kk-maksu ja prepaid

Alempi kortti on prepaid

• Accidental $70k Google Pixel Lock Screen Bypass

Meillä taisi molemmilla olla puhelimessa vakiona sisässä kortti, jossa ei ole tällä hetkellä voimassa olevaa liittymätilausta, mutta joka kuitenkin osaa pyytää PIN-koodia. Sisään vaihdoin aukaisemista varten oman vuosia vanhan kortin, jonka lukitsin ja sitten PUK-koodeilla käynnistin, mutta lukitusruudusta ei sillä metodilla päässyt ohi.

 

[Juha Kokkonen]

@Diizzel @Juha Kokkonen
Oliko teillä käytössä uusi vai vanha SIM-kortti? Twitterissä sain vahvistuksen käyttäjältä d_a_n_i_e_l_w, että hyökkäys onnistui nimenomaan uudella prepaid kortilla (kuten minulla). Eli vaatimuksena saattaa olla uusi kortti tai prepaid kortti (vaiko molemmat ).



Haavoittuvuuden löytäneellä David Schützilla saattoi olla myös prepaid, sillä hänellä PUK koodi oli kortin takana. Ainakin DNA:lla omissa korteissa PUK koodi on vain prepaidin takana ja kk-maksu liittymässä saatavilla vain DNA:lta tai verkkopalvelusta. (Valitettavasti en ole oman kk-maksu liittymän omistaja, niin en pääse käsiksi kyseisen liittymän PUK koodiin helposti testausta varten).

Spoileri: Vertailu: kk-maksu ja prepaid

Alempi kortti on prepaid

• Accidental $70k Google Pixel Lock Screen Bypass

Olisiko joku pari vuotta vanha kortti ollut kumpikin. Toisessa ei tosiaan aktiivista liittymää.

 

[FlyingAntero]

Pitää koittaa saada haltuun pääasiallisen SIM-kortin PUK koodi, että pääsee testaamaan vanhalla kortilla erikseen. Pääasiallisen kk-maksu liittymän kortti taitaa olla vuodelta 2018 (kätevää, kun voi tarkistaa viestihistoriasta: Liittymät).

PS. On näitä vastaavanlaisia ollut iOS:llakin, joskin ei ehkä yhtä pahoja:

• Bypassing iOS Lock Screens: A Comprehensive Arsenal of Vulns

 

[FlyingAntero]

Pääsin tänään testaamaan pääasiallisella SIM-kortilla hyökkäystä ja se onnistui silläkin kortilta. Eli hyökkäys ei rajoitu ainakaan prepaid-korttiin, vaikka myös Hikari_Calyxillä näyttää Surface Duo videon perusteella olevan prepaid. Minim pääasiallinen kortti on vuodelta 2017 ja prepaid-kortti 2021. Valmistusvuoden pystyy selvittämään itse kortista (kts. alla).

SIM Card Info osaa kertoa, että pääasiallisen kortin ohjelmistoversio on 05 mutta prepaidissa 00. Liekkö kyseisiä versioita sitten erilaisia, jotka voisivat vaikuttaa? Vai onko itse operaattori vaikuttava tekijä? Alkaa mennä sen verran hakuammunnaksi, ettei enää ole oikein polkuja selvittää eteenpäin .

Spoileri: Kuvakaappaukset

Pääasiallinen kortti

Prepaid-kortti

Spoileri: Valmistusvuosi

DNA: SIM-kortissa on 8935804XXY tai 8935806XXY numerosarja, missä XX kertoo valmistusvuoden (17 = 2017, 21 = 2021).

• Koodaus varmistettu kahdella kortilla (2017, 2021)

Telia: SIM-kortissa on numerosarja, joka muodostuu 12 numerosta kolmessa 4 numeron rivissä. Ensimmäinen rivi on muotoa XXYY, missä XX on valmistusvuosi. Vanhoissa korteissa numeroparit voi olla myös toisin päin (kts. SIM -kortin ikä - - Suomi24 Keskustelut).

• Koodaus varmistettu kahdella kortilla (2018, 2021)

Elisa: SIM-kortissa on numerosarja, joka muodostuu 12 numerosta kahdessa 6 numeron rivissä. Ensimmäiset kaksi numeroa kertovat valmistusvuoden.

• Koodaus varmistettu vain yhdellä kortilla (2015), joten eroavaisuuksia voi olla

 

[FlyingAntero]

@Juha Kokkonen @Diizzel
Testasin äsken, niin uutisen haavoittuvuus löytyy myös Zenfone 9 puhelimesta (stock) ja F(x)tec Pro1 puhelimesta Lineage OS 19.1 custom ROM:lla.

• Zenfone 9: Android 12.1, tietoturvataso 1.10.2022
• F(x)tec Pro1: Android 12.1 (Lineage OS), tietoturvataso 5.10.2022

Kyseessä on mielestäni todella vakava haavoittuvuus, kun hyökkääjä voi toteuttaa sen esim. 4,90€ maksavalla prepaid liittymällä päästessään laitteeseen käsiksi. Varastettuun/löydettyyn puhelimeen saattaa siis päästä hyvin matalalla kynnyksellä käsiksi, kun aukko näyttää loppujen lopuksi löytyvän useamman valmistajan puhelimesta.




Tuoreimmat puhelimet saavat luonnollisesti korjauksen päivityksellä mutta esim. kaksi vuotta sitten julkaistu Sony Xperia 5 II saattoi juuri saada viimeinen päivityksensä eikä todennäköisesti päivity enää marraskuun tietoturvatasolle. (Edeltävä Xperia 5 sai päivityksiä tasan 2v ja viimeinen päivitys jätti laitteen lokakuun 2021 tietoturvatasolle). Muilla valmistajilla on varmasti vastaavia tilanteita ja mm. Googlen Pixel 4 puhelimet (julkaistu 2019) jäävät näillä näkymin haavoittuviksi ellei Google päätä jatkaa laitteiden päivitystukea vielä kuukaudella. Joskus Google on näin tehnyt aiemmilla Pixel luureilla.

• Last Google Pixel 2 and Pixel 2 XL update coming in December

Google julkaisi juuri helmikuun tietoturvapäivityksen Pixel 4 malleille, joten SIM-lukitusbugi on nyt korjattu. Hienoa toimintaa Googlelta, vaikka virallinen tukijakso oli jo loppunit.

• Google Pixel 4 and Pixel 4 XL get final update with February security patch

Today, side by side with the broader February 2023 update for current Pixel phones, Google rolled an update to owners of the Pixel 4, the first such update since October 2022. The update brings the security improvements of the February 2023 Android Security Bulletin, and likely not much else. Judging from the build number — which starts with “TP1A” instead of “TQ1A” — the new Pixel 4 update does not bring the improvements of Android 13 QPR1, released in December.

Sony sen sijaan ei ole tietääkseni päivittänyt Xperia mark II malleja, joissa haavoittuvuus ilmeisesti on.

• r/SonyXperia - Please Sony... If not Android 13, security patches at least...