Comments 163
Классная статья)) каждый мечтал бы найти такой баг
Только нам бы не выплатили - нужно не только найти но и добиться. Как вы проверите повторный это баг или нет? На любой смогут написать что повтор и перемножить на 0.
Если этот баг присутствует на большинстве устройств, то это просто праздник для атакующего.
Но там наверняка не $100 тыс.?
Зато больше, чем 0$
Именно столько. http://zerodium.com/program.html
Ему выплатили только потому что он лично на конференции еще раз подошел с разрабам с этим багом.
А про "ваш баг - это дубль" - полно статей
В текущих реалиях есть и другие причины для отказов в выплатах.
Мне посчастливилось около полугода назад найти баг в приложении exodus для криптокошельков с обходом пароля. Это вышло случайно и я долгое время не мог его воспроизвести
Но пару месяцев назад я снова случайно смог войти в приложение без ввода пароля и решил разобраться. Смог воспроизвести его несколько раз, после чего завел тикет на hackerone, благо exodus там есть
После разбирательств мы договорились о выплате 1000$ в качестве вознаграждения и они перевели мне деньги на счет внутри системы
Только вот вывести эти деньги я не смог из-за санкций. Что ещё глупо, так это то, что и украинцы сталкиваются с такой же проблемой, а из саппорт просто не отвечает на мои вопросы
Понятно, что это перевод и автор оригинальной статьи не столкнулся бы с такой проблемой. Просто вспомнил свой «удачный» кейс)
Важное дополнение, для тех, кто без обновлений, если у вас отжали телефон, то:
Выключите гаджет, прежде чем оставить его без присмотра. Это предотвращает доступ к зашифрованным данным пользователя.
ИМХО, 70к зелёных шуршунчиков — невысокая награда для уязвимости, которая таилась на протяжении многих релизов OS. Не исключаю, что это был взаимовыгодный бэкдор (вспомним разоблачения от Э. Сноудена и еще более громкое: "Убежище 7").
Только в "Убежище 7" и прочих слитых документах ничего нет про то что в какие-то продукты специально добавляли бэкдоры, так что эти документы, наоборот, убеждают нас в маловероятности "взаимовыгодного бэкдора". Если уж даже в слитых документах про существование бэкдоров для спецслужб ничего не было, то уж совсем это слабенькая версия.
Если уж даже в слитых документах про существование бэкдоров для спецслужб ничего не было,
Ничего не было, потому что в слитых, опубликованных доках путного особо не было. "Интересное", возможно, очистили перед выгрузкой для масс. В "убежище 7" половина/больше сырых документов полностью пустые, имеют только имя/дату. Как сообщали в Викиликс: зачистили намеренно.
Hidden text
По Сноудену, сливы его не изучал, но СМИ сообщали, что Гугл в т.ч. сотрудничает со спецслужбами.
В прошлом:
Google подтверждает, что расширенный бэкдор был предустановлен на устройствах Android.
Я тоже подтверждаю и бэкдор и не связанный с ним взлом. У меня была на руках и рутованная и обычная одна из упомянутых привлекательных по цене Китайских моделей гаджета, в одной из своих статей я упоминаю эту модель.
И до Сноудена шум поднимали.
Если что, я не утверждаю о намеренном черном ходе, это всего лишь мои домыслы на основе анализируемой информации.
>Как сообщали в Викиликс: зачистили намеренно
С таким подходом может и всё остальное в этих сливах отредактировано, зачищено, или даже выдумано с нуля.
>это всего лишь мои домыслы на основе анализируемой информации.
Да вот я на Хабре уже 12 лет, буквально под каждой новостью об очередной уязвимости обязательно кто-нибудь напишет, что это "бэкдор от CIA/FBI/NSA/NBA/TLA". Плюсики такие комменты каждый раз стабильно собирают, только ни разу такие теории не получили ни подтверждения, ни каких-то доказательств.
Вон оно в чём дело, в плюсиках.
ни разу такие теории не получили ни подтверждения, ни каких-то доказательств.
Какие-то были.
кто-нибудь напишет, что это "бэкдор от CIA/FBI/NSA/NBA/TLA".
Предподожит? Что в этом плохого?
Если я своими собственными глазами видел и бэкдор и взлом китайского гаджета. Нормальная реакция сомневаться в некоторых продуктах после такого.
Так точно также в каждой новости про яндекс колонки и яндекс ТВ пишут про "товарища майора".
Ну всё-таки есть разница между инсинуациями и простым напоминанием российских законов.
А в какой стране частные компании не обязаны передавать данные силовикам?
Вопрос, как всегда, в цене. Где-то нужно завести дело, материалы которого рассмотрят (и могут оспорить!) юристы компании, а где-то достаточно помахать корочкой.
А National Security Letter это по суду или не считается?
Сами посмотрите, сколько там ограничений: https://en.wikipedia.org/wiki/National_security_letter
Процитирую для затравки: «The nondisclosure provision must be authorized by the Director of the FBI». А не старшим следователем района, например.
Ну то есть решения суда, дела и рассмотрения юристами компании не требуется, как вы написали выше.
Неправда ваша.
О решении суда я не писал.
О заведении дела написано в статье: «authorize the United States government to seek such information that is "relevant" to authorized national security investigations», внимание на слово «investigations».
О рассмотрении юристами компании: «Moreover, a recipient of the NSL may still challenge the nondisclosure provision in federal court.[4]».
И там ещё много интересного. Почитайте.
каждый мечтал бы найти такой баг
Помнится одна история с заблокированной моторолой, где удавалось попасть на домашний экран через справочный модуль.
Вкратце: из ввода кода можно было открыть экран восстановления через гуглоакк, на форме ввода вызвать неподдерживаемые клавиатурой языки, попытаться добавить какой-нибудь хинди, где выпадало вебвью с ошибкой, откуда можно было вызвать систему печати и перейти в настройки, в которых удалить гуглоакк, после чего девайс зависал на пару минут, падал с перезагрузкой интерфейса и показывал рабочий стол.
Ну а дальше подключение через adb, разрешение на отладку, и поехали...
Без тесного личного знакомства с командой баг баунти и угроз публикации нечего и ловить, получается?
Интересно сколько раз об этом баге сообщали раньше.
У меня тоже сложилось впечатление, что делать это нужно так: приехать чуть ли не лично в главный офис (он вообще есть?) и прямо на рецепции кричать: "Если не дадите денег, я тут же выложу всё сначала в даркнете, а потом и вообще всезде, куда только дотянусь!", потому что в других случаях всем пох.
Притом что баг не какая-то мелочевка с использованием других уязвимостей типо flash-e, а аффектится все модели, а так как не все обновляют телефоны то и по сей день он его еще можно использовать
"Dont be deaf"
На самом деле это тревожный сигнал о том, что Google забюрократизирована. Если очень серьезный баг с безопасностью рассматривался месяцы.
Ну или есть вариант два: у них ресурсы разработчиков направлены на создание других вещей и такой баг они считают несущественным:) Сотрудники ФБР довольны, Гугл довольны, а тут кто-то надоедает:)))
Я помню 10 лет назад в unity store 3 месяца уговаривал их забрать у меня лишние деньги, которые удваивались на счете если транзакция вывода денег с продаж выполнялась не верно. При этом в суппорте отвечал совсем не специалист и не понимал о чем я вообще говорю.
А на этот баг вообще забили болт и только повторный тикет с прямым общением заставил Гугл шевелиться. Это не тревожный звоночек, это уже первый этаж горит во всю.
Если текущий активный экран безопасности не является экраном
SimPuk(возможно, потому что, как в нашем случае, его изменил какой-то фоновый компонент), то функция закрытия ничего не сделает.
Немного странное решение. Судя по описанию, в системе существует стек локскринов, то есть единомоментно может быть активно два и более локскринов (но только один видим). И активным (видимым) является только тот, что на вершине стека. При этом порядок локскринов в стеке может быть произвольно изменён. Но тогда если на верхний уровень вышел другой локскрин, то игнорирование запроса dismiss, приведёт к тому, что нижележащий локскрин вообще не будет закрыт. По идее dismiss должен вызываться для конкретного экземпляра локскрина и только если все локскрины в стеке были dismissed - только тогда аппарат разблокируется.
Само по себе то, что процесс может вызывать dismiss некоего объекта, который был создан не этим процессом - это уже косяк (и в тексте есть упоминание, что такое поведение приводит к некорректной работе системы).
Может, конечно, что это автор статьи неправильно всё понял.
нижележащий локскрин вообще не будет закрытЗапрос можно отправить повторно, что лучше для безопасности, чем предоставить доступ третьим лицам
Само по себе то, что процесс может вызывать dismiss некоего объекта, который был создан не этим процессом — это уже косяк (и в тексте есть упоминание, что такое поведение приводит к некорректной работе системы).Судя по всему, локскрин является отдельной сущностью, которую код может создавать и удалять. К сожалению, моих знаний недостаточно что-бы понять причины такого действия. Разве что для сохранения возможности звонить 911?
Тоже оценил "элегантность" решения. В dismiss теперь надо передавать параметр! Т.е. это не метод конкретного экрана блокировки или его родителя. Ну и также остался вопрос, с закрытием экрана блокировки PIN/PUK, а кто для него вызвал тогда метод?! Я бы скорее подумал, что все таки dismiss грохал весь стэк. И теперь сделали, чтобы метод грохал не весь стэк а только конкретный экран, который и был разблокирован. В общем медведя на велосипеде с костылем все вспомнили
Главное чтобы новый код не грохал запрос о разблокировки второй сим-карты, или будет отговорка что у нас нету двухфизическисимочных телефонов.
На моём третьем пикселе постоянные проблемы с локскрином, то они накладываются друг на друга и нужно разблокировать несколько раз, то из-за нехватки памяти выбивает с локсрина на рабочий стол, но при открытии любого приложения снова выходит локскрин.
Мда, оказывается (кто бы мог подумать), что даже блокировке экрана доверять нельзя. Концепция стека вызовов уязвима к ошибкам или атакам состояния гонки! Злоумышленники потирают руки, ведь многие телефоны не получат исправление этой ошибки, а пользоваться ей очень легко. Интересно, есть ли шанс исправить что-либо самостоятельно, если обновление 100% не придет?
Интересно, а Android устройства других изготовителей? Кто нибудь проверял?
Многие мои предыдущие телефоны сразу же выключались при открытии лотка SIM.
Я менял всегда на горячую
Последние Леново мои
Сбивались лишь настройки сим карт
Раньше это было требование чуть ли не стандарта GSM. Что-то вроде "извлечение симки должно приводить к отключению устройства". Видимо чтобы нельзя было несколько мобильников включить с одной симкой методом перетыкания. По этой причине разъём симки часто делали под батареей.
Но в последние годы телефоны позволяют менять симку на ходу. ХЗ, видимо убрали требование.
Какое ни будь старое наследие стандарта или просто инерция мышления вида: «что делать пользователю в телефоне без симки?», пусть видит сообщение что её нет, без возможности его закрыть/пропустить.
Или это требование реализуется программно. Извлек пользователь симку - вырубаем GSM-модуль, из сети мобильник вывалился. А всё остальное пусть работает.
У меня на OnePlus 5t с последней официальной прошивкой бывает рандомно разблокируется при не до конца введенном графическом пароле
А разве это свойство телефона, а не симки? Мне кажется, что запрос PIN делается в зависимости от SIM-карты, но не телефона. И в этом случае уязвимость телефона не устранена, зато добавилась уязвимость SIM-карты.
Теперь в случае утери/кражи телефона злоумышленники вашу симку воткнут в подготовленный телефон и наберут кредитов и микрокредитов + на госуслугах пошалят, т.к. там двухфакторка по смс.
Уже много лет симка ценнее телефона и пин код хоть как-то дает выиграть время.
Новая симка и пак код на непатченный телефон дадут доступ к внутреннему диску, но хотя бы банки будут в относительной безопасности
Не будут. Сначала запрашиваем код подтверждения на CMC, потом разблокируем телефон. Наверняка же пришедшая СМС окажется сохранённой в самом телефоне и доступна к прочтению...
К счастью, как выяснилось (найти PUK-код оказалось ещё тем квестом), мой телефон не подвержен этой уязвимости вообще.
Очень опрометчивое решение. Злоумышленник вставляет вашу симку к себе в телефон и получает доступ ко всем вашим деньгам в банках, потому что сейчас вся безопасность на смс завязана.
Не получает. Так получилось, что в этом году 3 раза менял телефон, и каждый раз квест с регистрацией
Какой именно квест? Зная номер карты и имея рабочую симку можно получить доступ в интернет-банк большинства (если не всех) банков РФ.
Раньше был только логин, который можно было получить в банкомате, а потом при желании сменить на любой.
И вход по номеру нельзя(в Сбере) отключить. Пуш вместо СМС так же не помогают.
Кто то облегчив доступ в приложение для клиентов банка, случайно или намеренно создал огромную дыру в безопасности. С учётом утечек, пары номер карты плюс номер телефона уже давно есть у всех кому надо.
Попросил ТП дать возможность отключить вход по номеру карты, оставив только логин, ответят через три дня что надумали.
Те у кого тоже Сбер, устройте им Хаброэффект пожалуйста, а то ведь отмахнутся или поставят тикет в неприоритетные.
Это о всех банках сейчас так. Банки экономят деньги, разгружают отделения от тех, кто забыл пароль и приходит его восстановить. А на риски клиентов им плевать, убытки не они же нести будут в случае чего...
Зная об этой искусственно созданной дыре, вполне вероятно выбить деньги из банка. Это не пара тысяч с карты. И угроза найма адвоката или хотя бы публикация на банки.ру, заставит их вернуть деньги.
Хотите пари? Я считаю, что ничего исправлено не будет и сброс пароля/доступ в интернет-банк по смс запретить будет нельзя.
Я могу войти по созданному логину и по номеру карты. Т.е. фактически имею два логина и один из них известен мошенникам. Им остаётся только украсть симку и пробить по своим базам. Ни о какой безопасности речи вообще не идёт.
Ладно хоть смс банкинг удалось выключить. И то он у большинства по умолчанию включён. А это ещё большая дыра в безопасности.
Проблема не в логине и номере карты, на это наплевать. Вы свой логин от почты отдаете всем и никакой беды в этом нет.
Проблема в том, что вас либо пускают без пароля по коду из смс, либо позволяют этот самый пароль сбросить по коду из смс. И вот это беда. Это значит, что никакого пароля у вас, на самом деле, нет, а есть только 1FA — симка.
Требуется иметь возможность запретить смену или восстановление пароля по смс без визита в отделение банка с паспортом. Если бы это было, то и симку не требовалось бы так тщательно охранять и это была бы реальная 2FA, а не современная фикция.
Логин можно в ЛК назначить в любой момент произвольный.
А вот номер карты можно только сменить и то платно вместе с ней.
Логин — это не секретная информация. Секретная информация — пароль. Именно он солится, хэшируется и всячески защищается. Странно, что такие вещи приходится объяснять на хабре.
Если использовать логин только в мобильной версии, то он нужен только один раз, при регистрации и в дальнейшем нигде не светится. Потому фактически может и являться паролем, а логин можно сбросить смской.
И откуда номер карты узнаешь?
Я попробовал включить PIN-код на симке и она заблокировалась без подтверждения, так что осторожнее с экспериментами.
А сам телефон застрял на экране ввода PUK пока не извлечёшь симку.
Если никогда не менялся PIN симки, скорее всего, он дефолтный — 0000
Так как атакующий может воспользоваться собственной SIM-картой с блокировкой PIN-кодом, для эксплойта этого бага не нужно ничего, кроме физического доступа. Атакующий может просто заменить SIM в устройстве жертвы, выполнить эксплойт с SIM-картой, имеющей блокировку PIN-кодом, для которой у атакующего есть PUK-код.
Я перестал верить в серьезную целесообразность использования pin-кода на сим-картах. Как-то тоже забыл пин от симки, а пук-кода под рукой не оказалось. Позвонил оператору, спросил про восстановление пука, и мне его озвучили, даже не спросив паспортных данных 🤦♂️
Решил провести процедуру на второй симке с другим оператором. Второй оператор уже попросил серию и номер паспорта. Однако, если злоумышленник захочет добраться до моей симки, скорее всего у него эта инфа уже будет, и он тоже спокойно восстановит пук-код.
Короче говоря, пин-код на симке можно юзать разве что от детей 🤷♂️
при этом на симку завязано столько всего от банка до госуслуг, так что храню симку дома в сейфе. пин код всё равно надо поставить.
А оператор берёт и перевыпускает симку)
После перевыпуска симки у тебя сутки не ходят SMS (Мегафон)
Но как узнать об этом если симка в сейфе?
По крайней мере банки по какой-то схеме получают от оператора инфу о смене IMSI по номеру, и блокируют операции.
Далеко не всегда, это вообще рандом какой-то, к сожалению.
Вот у Сбер бизнес, перевыпуск симки ничего не даст, без похода в банк с подтверждением личности и операции.
Почему нельзя распространить это и на физиков, я не знаю, хоть это вызовет некоторые неудобства. Но могли бы дать возможность хотя бы опционально.
Короче говоря, пин-код на симке можно юзать разве что от детей 🤷♂️Вы упустили сценарий «кто-то украл телефон / нашёл мой потерянный телефон и решил поживиться».
В этом случае нашедший не сможет ни воспользоваться симкой, ни восстановить PUK (он номера телефона не знает).
От этого сценария могла бы спасти eSIM, но из-за дыры она даже хуже обычной симки с пином.
Всего-то нужен PUK код. Почему все параноят?
Кстати, если на самсунгах на двойное нажатие кнопки включения повесить камеру, то после её появления можно платить - не разблокируя телефон. Но дыры вроде в этом нет, потому что так проходят только мелкие платежи, и разблокировки, на самом деле, не происходит.
Зато - удобно, можно контролировать, что там пишет терминал, на экране камеры.
А мелкие платежи это сколько? И что мешает сделать много мелких?
И банк даже не чухнулся.
@Popadanecуже ответил. Да, мелкие - это 1 тыр. Хотя на заправке луйкойла и 3 тыра без вопросов снимается, так что смотря где платить.
Это можно делать и без камеры. Достаточно просто включить экран кнопкой включения, и NFC-модуль активируется. И точно так же, как обычной картой с NFC можно платить до определённой суммы без PIN, так же можно и с телефоном без разблокировки. А при сумме выше порога будет запрошена разблокировка.
Так что это вообще не дыра.
UPD. Об этом прямо в справке Google Pay написано:
В каких случаях для оплаты не нужно снимать блокировку экрана
Важно! Количество транзакций при заблокированном экране ограничено.
Обычно для совершения бесконтактных платежей нужно снимать блокировку экрана. Исключение составляют случаи, когда сумма покупки незначительна.
https://support.google.com/pay/answer/7644132?hl=ru&ref_topic=7625138
а попробуй камеру включить :-)
Это можно делать и без камеры. Достаточно просто включить экран кнопкой включения, и NFC-модуль активируется.
В моём случае без камеры, просто включить экран - не срабатывает. Mir Pay на Samsung A70. Впрочем, и раньше с Google Pay было аналогично.
Так что это вообще не дыра.
Я и не жалуюсь - очень уж больших сумм там не держу, зато очень удобно, не надо палец облизывать (когда руки сухие, отпечаток пальца не распознаётся).
Хотите ещё сотку заработать? Поднимаете в домашней вайфай сети сервер обновлений андроид и туда выкладываете патч с ревертом коммита этого 😁
Классная идея для подвала в застенках АНБ
я начал по-настоящему переживать
…
Это было пугающе странно.
…
У меня начали трястись руки.
…
Это событие привело меня в ужас.
До чего же впечатлительный хацкер пошёл. Эдак его однажды Кондратий хватит.
Вообще все формулировки выглядят так, чтобы показать, что он "очень переживал за безопасность" и "делал все возможное, чтобы исправили быстрее". Правда, когда ему пообещали 70к заплатить обратно, пыл поубавился. И чтобы это не выглядело как вымогательство, то все обернуто в беспокойство. Но тут его позиция абсолютно правильная - такое надо и исправлять быстрее, и платить деньги сообщившему, а не разводить бюрократическое болото.
Это, кроме прочего, следствие прямого перевода с нагличанского на русский.
Статья занимательная, правильно я понимаю, что первым кто знал о проблеме были сотрудники ФБР, поэтому и поставили статус, что проблема известна
выполнил горячую замену из лотка SIM-карты
Теоретически эта бага могла затаиться со времён, когда SIM-слот располагался под съёмной батареей и случайно обнаружить багу было затруднительно. Ну, а люди с тайным знанием могли позаботиться о том, что мобила не обесточится при вынимании батареи.
Занятно, но идея уязвимости лежала на поверхности - старые кнопочные телефоны примерно так и разблокировались через другую симку, т.к. каких-то ценных данных тогда на телефонах не было. С тех пор всё поменялось, но старый принцип работы оставался ещё долго
Дыра подразумевает наличие системы защиты. А там, как правило, её не было как класс - сам аппарат в принципе не защищался от использования в чужих руках. Вынул симку, поставил другую - пользуйся.
Оффтоп. Пересматривал не так давно фильм "Враг государства" 1998 года, один момент умилил особенно. Главного героя там по сюжету ставит под наблюдение АНБ - вот буквально влезая домой и утыкивая всё жучками. С мобильником же поступает того проще - его не вскрывают и не припаивают ничего, банально подменяют на свой, уже, надо думать, пропатченный. Разумеется, владелец подмены не замечает.
То есть персонализации на уровне девайса - вообще ноль.
Ой, не скажите. Была привязка телефона к симке. Меняешь симку - надо ввести код телефона. И через несколько неудачных попыток телефон превращается в тыкву.
Ну, в моём первом Siemens A35 было именно так, но уже в SL55 можно было установить пароль на включение, и пока его не введёшь, доступ к "внутренностям" было не получить (понятно, что это уже был "смартфон" - с почтовым клиентом, ежедневником и прочей "sensitive data", но всё ещё кнопочный, и без камеры). На каких-то "смартфонах" припоминаю запрос на обнуление телефона при смене сим-карты (выбешивала необходимость пересоздавать контакты из-за перевыпуска симки), кажется, у Motorolla c330, но за давностью не уверен...
Во всех больших организациях развита в первую очередь бухгалтерия и бюрократический бизнес-процесс вокруг траты денег. Если бы автор выявления бага был по-настоящему не первым, а вторым, как заявлял вначале гугл, то ему бы никогда не выплатили вознаграждение, чисто по процедурно-бухгалтерским причинам. Уж чего-чего, а денежку там считать умеют, иначе бы не выросли до монополиста.
А раз выплатили, значит все-таки он был первый, просто багу морозили или зажимали денег.
Выходит все экраны блокировки это ширмочки, которые при закрытии(падении?) пускают в систему? По идее под этими экранами ничего не должно быть доступно, пока хеш пароля введенного не отдан глубже в ядро от каждого экрана. Детский сад
Проблема позволяла атакующему с физическим доступом к телефону обойти меры защиты экрана блокировки (отпечаток пальца, PIN и так далее), получив полный доступ к устройству пользователя.
А разве PIN/графический узор и пароль не используются при шифровании раздела с данными? Вроде всегда было так.
Немного оффтопика: есть старый сяоми, с графическим ключом который забыли, на нем видео и фото которые хочется стянуть. По ЮСБ без анлока телефона скачать не дает.
Как быть в такой ситуации? Планирую попробовать этот эксплоит, но если не сработает то есть ли способ данные восстановить?
Мой испорченный мозг прочитал название статьи: "Как я случайно обошёл блокировку Google Pixel и получил за это штраф $70 тысяч"
Сразу вспомнил одну из своих первых программ, тоже для блокировки, компьютера, правда.
Просто окно на весь экран, которое нельзя свернуть и закрыть.
Но через несколько минут я понял, что это ни какая не защита.
какая интересная фича :)
Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч