在Android的5.x版本中存在一个漏洞,5.x<= 5.1.1(在LMY48M前建立),该漏洞允许攻击者让锁屏崩溃从而成功完全进入一个锁定的设备,即使该设备上启用加密。当相机应用在无需解锁就可用使用时, 通过在密码字段内操纵一个足够大的字符串,攻击者能够破坏锁屏,从而使其主屏幕崩溃。在这一点上任意的应用程序可以运行或adb的开发者能够访问来获得对该设备的全部权限,并且暴露该设备中包含的任何数据。

2015年9月:锁屏的提权漏洞(cve-2015-3860)

链接:https://groups.google.com/forum/

攻击需要以下条件:

攻击者必须对设备进行物理访问

用户必须设置密码(模式/引脚配置不可利用)

视频演示如下:

攻击流程:

1. 从锁屏打开紧急呼叫窗口。

2.键入几个字符,例如10个星号。双击文字来突出它们,点击复制按钮。然后点击,一旦进入界面则点击粘贴,使字段中的字符增加一倍。重复这一使用标识记号的过程,复制,粘贴以至于字段长到双击不再可以添加,这通常需要重复11次左右。

3. 回到锁屏,然后向左滑动打开相机。从屏幕顶部向下滑动,把通知栏拉下来,然后点击右上角的设置(齿轮)图标。这会导致密码提示出现。

4. 在密码行内多次点击,然后将字符粘贴到密码行内。继续长按光标,然后尽可能多的次数进行特殊字符(比如星号)粘贴,直到你发现UI崩溃,然后在屏幕的底部的软件按钮消失,扩大摄像头至全屏。获得粘贴按钮,从而增长字符串。作为一个提示,始终确保光标是在字符串的最末端(你可以双击,以突出显示所有,然后点击按键,朝着终点的方向快速移动光标),多次点击使得光标尽可能接近中心。为了获得粘贴按键,多次点击,这将可能会比平常花费更多的时间。

5.等待相机应用程序崩溃,并且显示出主屏幕。这一持续时间以及这一步骤的结果可能会差别很大,但是相机应该最终会崩溃并且暴露出敏感功能。你应该注意到相机的滞后性,随着它试图专注于新的对象。尽管通过硬件按键加速拍照这一过程不是严格要求的,但我们仍然可以选择这样做。如果由于不操作使得屏幕关闭,我们只需要重新打开它,然后继续等待。在某些情况下,摄像头的应用程序将会直接崩溃,使得全屏幕如下图所示,而其他时候,它可能会在主屏幕上呈现崩溃的一部分,这将在前面概念演示视频中交替证明。

6. 通过任何手段尽可能的导航到设置程序,例如,通过点击在底部中心的应用程序抽屉按钮,并在应用程序列表中找到它。在这一点上可以启用USB进行正常调试(关于手机>点击次数7次,返回,开发者选项> USB调试),通过ADB开发工具来发布任意命令,或者通过设备拥有者拥有设备的所有权限,获得该设备上所有文件的访问权限,最终成功的完全进入设备。

时间轴:

2015年6月25日:漏洞私下报告给安卓的安全团队。 
2015年7月1日:安卓证实漏洞可以被复现,定义漏洞危害程度低。 
2015年7月15日:安卓系统将问题严重提升到中等程度。 

2015年8月13日:安卓承诺补丁修复漏洞。 

2015年9月9日:安卓发布包含修复5.1.1版本LMY48M。 
2015年9月14日:安卓 公开漏洞 。 
2015年9月15号:UT ISO发布此书面记录。