Android 5.x漏洞：黑客可以绕过屏幕密码进入系统

浮尘 · 发表于 2015-9-17 07:42:23

很多Android用户会选择使用锁屏密码保护设备，但最新爆出的漏洞却令人震惊：任何人无需复杂的操作即可绕过锁屏直接进入你的系统！

攻击者可以通过漏洞导获取上锁设备的全部权限：输入超长的字符串导致锁屏和相机的崩溃，直接进入主屏。接着攻击者可以打开USB调试功能，连接电脑，最终获取手机中的大量信息。此漏洞存在于Android 5.x <= 5.1.1的版本中，UT Austin团队在6月25日提交漏洞给Android后，Android在9月9日的新版本(build LMY48M)中修复了该漏洞。

需满足的两个条件

攻击者与设备需要有物理接触
锁屏方式必须使用密码（锁屏图案或者pin密码都不可以）
PoC视频

(Nexus 4, Android 版本5.1.1 build LMY48I)

攻击过程

1. 在锁屏界面点击“紧急拨号”。

2. 输入几个字符，比如10个星号。双击字符高亮选中，然后点击复制。再在输入区域粘贴，这样字符数量就翻倍了。重复这一过程，直到输入区域中的字符串太长了，双击已经不能再高亮这些字符了。重复的次数大约是11次左右。

3. 回到锁屏界面，然后左划呼出相机，下拉通知抽屉打开通知，然后点击右上方的一个设置(齿轮)图标，然后就会弹出密码输入框。

4. 长按密码区域，然后粘贴字符。继续长按光标，再粘贴，重复的次数越多越好，直到你看到UI崩溃，屏幕下方的软键消失了，相机变成全屏的了。(小提示：在粘贴的过程中建议尽量让光标一直处在字符串末尾的位置，长按时尽量靠近光标中心。长按后粘贴按钮出现的时间可能要比一般来的长。)

5. 接下来就等待相机应用崩溃，然后暴露主屏了。这一步骤消耗的时间可能会根据不同的情况相差巨大，但是结果都应该是相机崩溃。你应该注意到相机的对焦过程有点慢，如果你用实体按键拍照可能会加快崩溃的进程。如果长时间没有活动导致熄屏，只需要重新点亮屏幕等待就行了。有些状况下，相机应用崩溃后会直接进入主屏，如下图，有些则会进入到一个比较奇怪的主屏，如这段PoC视频所示。