技术分析：绕过锁屏，三星Galaxy系列手机也可以叫出

原始链接：

#4： b:a:a:5:f:9:9:c:5:2:b:2:e:2:8:4:7:a:3:0:7:5:6:8:9:4:f:c:d:a:a#

最近，两位安全研究人员Roberto paleri和Aristide fattori发布了有关三星Galaxy移动设备安全漏洞的技术细节。据说，galaxy手机可以被未经授权的第三方人员用于在屏保状态下打电话和发送电子邮件。

屏幕锁定旁路概述

根据Roberto paleari和Aristide fattori发布的技术细节，攻击者可以使用临时访问移动设备或窃取受害者手机的方法，通过USB访问移动设备并将其连接到Linux工作平台，最后发送指令实现呼叫和电子邮件发送。

此方法不使用任何软件漏洞。即使手机关闭了USB调试功能（ADB、Android调试桥，可以帮助用户管理设备或模拟器状态）或USB网络共享功能，也可以实现上述电话和电子邮件。

工作原理

对于此漏洞，当前的核心问题是当手机通过USB连接到另一个Linux系统时，它通常可以通过Linux系统的虚拟USB串行端口（主要是/dev/ttyacm0设备）与手机设备通信。

根据测试，当连接到USB控制器（如普通笔记本电脑）时，三星Galaxy手机会暴露出一个串行端口，我们可以通过该端口与手机的USB调制解调器进行通信。

“简易模式（适用于旧款三星手机和固件版本）

对于旧的三星手机和固件版本，如gt-i9192（三星S4 mini，版本号为i9192xxubnb1），将手机连接到Linux主机并通过插槽确认连接到USB调制解调器后三星手机被锁屏，可以尝试发送at（注意）命令。根据分析，一些指令将被传送到基带调制解调器，而另一些则由用户空间应用程序处理。

理论上，通过使用上述套接字运行和传输简单的at（attention）命令，高技能攻击者可以在移动设备上执行各种操作。

百科全书

At，全名attention，是由Hayes公司发明的。At指令集主要使计算机或终端能够与modem通信。通过发送at指令控制联通站的功能，实现与GSM网络业务的交互。用户可以通过at命令控制通话、短信、电话簿、数据服务、传真等方面。

“硬模式（适用于新的三星手机和固件版本）

在最新的固件版本（如最新版本的Samsung S4和Samsung S6）中，利用此漏洞并不容易，因为在最新的固件版本中，默认配置是当设备连接到主机时，只有MTP套接字功能对主机打开，主要用于文件传输。

但是经过测试，我们发现攻击者仍然可以通过将默认配置切换到第二个USB配置来与调制解调器通信。因此，在这些情况下，攻击者需要在连接到调制解调器之前将默认配置切换到USB配置2。此操作可通过PC终端实现，无需解锁移动设备。以下是默认配置信息

#2： a:5:8:5:2:f:8:5:6:6:d:5:7:2:2:0:c:2:8:d:b:3:7:7:7:d:3:6:8:c:7#

#6： 4:4:6:a:2:a:7:6:7:a:7:3:7:7:f:3:2:d:1:9:8:b:5:d:1:0:8:3:5:8:d#

#2： a:5:8:5:2:f:8:5:6:6:d:5:7:2:2:0:c:2:8:d:b:3:7:7:7:d:3:6:8:c:7#

在这个POC中三星手机被锁屏，我们开发了一个简单的工具（用C语言编译）usbswitch。使用此工具，我们可以将指定的三星移动设备切换到USB配置。该工具利用libusb库实现上述功能。使用/sys/bus/USB虚拟文件系统也可以完成相同的任务。

我们强制移动电话切换配置的步骤是先重置USB设备（通过USB reset（）函数），然后切换配置（通过set configuration（）函数）。有时，工具usbswitch的第一次执行可能不会生效，因此最好运行两次，以确保已切换到配置。工具usbswitch的源代码链接地址是：usbswitch。C类

试验结果

我们知道，访问调制解调器最明显的后果是使打电话和发送电子邮件成为可能。对于后者（传出呼叫），可以使用以下命令执行此操作：

#b： 1:c:4:5:b:2:d:9:6:d:a:d:1:2:7:5:9:d:9:4:e:a:3:f:6:b:6:c:5:3:b#

命令的作用是在屏幕保护程序状态下拨打123456。如下面的POC视频所述。

演示视频

一些学生问他们是否可以使用此漏洞来访问设备，例如访问其通讯簿、照片和内部存储？对于这个问题，理论上at指令可以由基带处理器直接处理，但如前所述，在at指令的传输过程中，有些at指令可能会被用户空间应用程序解析，因此在这种情况下，基带处理器无法处理这些指令，因此很难直接实现上述访问权限。

在这个测试中，我们观察到S4 mini（固件版本号为i9192xxubnb1）可以支持单个at指令，可以用来控制Android系统的设置。例如，在这种情况下，at+usbdebug命令允许启用USB调试功能，at+Wi Fi value命令启用或关闭设备Wi-Fi等

在最新的手机固件版本中，三星可能意识到了这些命令的相关风险，并开始引入基于黑名单的过滤机制（由DdeX二进制应用程序执行）来过滤出威胁性命令。例如，在测试期间通过at+usbdebug命令时，我们可以看到以下信息记录在galaxy S6设备的系统日志中

#2： 6:a:5:8:3:e:7:b:d:7:d:5:4:2:1:9:f:5:1:5:a:4:8:5:8:e:8:d:8:3:b#

影响范围

目前，已测试并发现能够进行上述操作的设备类型包括：

#2： a:5:8:5:2:f:8:5:6:6:d:5:7:2:2:0:c:2:8:d:b:3:7:7:7:d:3:6:8:c:7#

#7： 0:b:2:d:0:0:a:8:5:5:4:8:f:a:3:f:9:5:1:3:0:c:a:4:c:3:3:c:2:f#

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/sanxing/article-142078-1.html