几乎市面上绝大多数 Android 手机都受到了 CVE-2022-20465 漏洞的影响。
该漏洞的具体操作是:
1、准备一张锁定了PIN1但知道PUK1的SIM卡。
2、把这张卡插入到被锁屏密码锁定了的手机。
3、故意输错三次PIN1,然后输入正确的PUK1和新的PIN1重置密码。
4、然后锁屏界面就直接被绕过了。假如手机未被重启,则可以直接访问进手机的数据。假如手机被重启了,就会导致手机无限显示正在加载 Android,但是你可以进入设置恢复出厂设置。
具体发现细节: https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
除还未更新 2022 年 11 月 5 日安全更新的 Pixel 手机之外,已经在目前发售的绝大多数 Nokia Android 手机以及微软 Surface Duo 上验证均可行。
小米手机上这样操作会触发丢失模式,无法重现此漏洞。
以下是 Surface Duo 实际操作视频。
https://www.youtube.com/watch?v=nC_gJBz6Q8k
请尽快安装 2022 年 11 月 5 日 Google 安全更新。如果你使用的手机厂商还未推送此更新,请确保不要将手机落在会被其它陌生人接触到的地方。
该漏洞的具体操作是:
1、准备一张锁定了PIN1但知道PUK1的SIM卡。
2、把这张卡插入到被锁屏密码锁定了的手机。
3、故意输错三次PIN1,然后输入正确的PUK1和新的PIN1重置密码。
4、然后锁屏界面就直接被绕过了。假如手机未被重启,则可以直接访问进手机的数据。假如手机被重启了,就会导致手机无限显示正在加载 Android,但是你可以进入设置恢复出厂设置。
具体发现细节: https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
除还未更新 2022 年 11 月 5 日安全更新的 Pixel 手机之外,已经在目前发售的绝大多数 Nokia Android 手机以及微软 Surface Duo 上验证均可行。
小米手机上这样操作会触发丢失模式,无法重现此漏洞。
以下是 Surface Duo 实际操作视频。
https://www.youtube.com/watch?v=nC_gJBz6Q8k
请尽快安装 2022 年 11 月 5 日 Google 安全更新。如果你使用的手机厂商还未推送此更新,请确保不要将手机落在会被其它陌生人接触到的地方。
bugs.xdavidhu.me
Accidental $70k Google Pixel Lock Screen Bypass
David Schütz's bug bounty writeups
