“你隨便給我一臺(tái)鎖定的谷歌 Pixel 手機(jī)，我兩分鐘就能給它解鎖了。”

笑話，這是誰在大言不慚……等等，這居然是真的啊！

近來一位匈牙利研究員 David Schütz 聲稱，他無意間發(fā)現(xiàn)了一個(gè)“幾乎所有谷歌 Pixel 手機(jī)都有的漏洞”，谷歌還為此獎(jiǎng)勵(lì)了他 7 萬美元：不用指紋，不用人臉，更不用鎖屏密碼，只要換張 SIM 卡，兩分鐘就能破解安卓鎖屏！

這……究竟是怎么一回事？

無意間發(fā)現(xiàn)的 Bug

最初，David Schütz 只是因?yàn)槟程?Pixel 6 沒電關(guān)機(jī)，而恰巧他在發(fā)短信，覺得“玩笑還沒開完很尷尬”，就著急插上充電器重啟開機(jī)。

可能是手機(jī)太久沒關(guān)機(jī)，也或許是 David Schütz 太著急要發(fā)短信，總之 Pixel 6 開機(jī)要求輸入 SIM 卡的 PIN 碼時(shí)（不是手機(jī)鎖屏密碼，是 SIM 卡密碼），他突然忘記了，然后一頓瞎猜后：得，SIM 卡自動(dòng)鎖定了。

還好 David Schütz 在翻箱倒柜中找到了 SIM 卡的原始包裝，并刮開背面得到了 PUK 碼——在 SIM 卡鎖定下，PUK 碼可以解開鎖定。

然后，令 David Schütz 感到神奇的一幕發(fā)生了：他輸入 PUK 密碼，并設(shè)置了新的 SIM 卡密碼后，沒輸入指紋或開機(jī)密碼，手機(jī)居然自動(dòng)就解鎖了！

David Schütz 大為震驚，覺得自己似乎是發(fā)現(xiàn)了什么驚天大 Bug，于是重復(fù)驗(yàn)證了幾遍：把手機(jī)鎖定了，在開機(jī)狀態(tài)下重新插入 SIM 卡，輸入 PUK 碼，重置 SIM 卡密碼……好家伙，手機(jī)直接就跳到了主屏幕。

出于嚴(yán)謹(jǐn)，David Schütz 又翻出了他的舊 Pixel 5，同樣操作來一套，結(jié)果依舊如此。

終于，David Schütz 可以確定，這的確是一個(gè)鎖屏（密碼）繞過漏洞——在設(shè)備未解鎖時(shí)，無需解鎖就可以訪問設(shè)備上的內(nèi)容。

5 步即可繞過解鎖，打開手機(jī)

David Schütz 火速向谷歌發(fā)送了漏洞報(bào)告，據(jù)他自己描述：“這是我迄今為止寫過最短的報(bào)告，只用了 5 個(gè)簡單的步驟。”

為了更直白地展現(xiàn)攻擊者利用這個(gè)漏洞有多簡單，David Schütz 錄制了一段視頻，整個(gè)過程兩分鐘都不到：

• 第一步，在鎖屏界面輸入錯(cuò)誤指紋和錯(cuò)誤密碼，讓手機(jī)鎖定；

• 第二步，在手機(jī)不關(guān)機(jī)的情況下，將 SIM 卡替換為攻擊者的 SIM 卡；

• 第三步，攻擊者輸入連輸 3 次錯(cuò)誤的 SIM 卡 PIN 碼，令他自己的 SIM 卡鎖定；

• 第四步，正確輸入 SIM 卡的 PUK 密碼；

• 第五步，重置一個(gè)新的 SIM 卡 PIN 碼，然后就“大功告成”了。

也就是說，攻擊者只需要帶一張?jiān)O(shè)置了 PIN 碼的 SIM 卡，再經(jīng)過以上 5 個(gè)步驟，就可以成功繞過解鎖，直接進(jìn)入主屏幕界面，完全掌握手機(jī)的訪問權(quán)限。

非 Pixel 的安卓手機(jī)可能也有這個(gè) Bug

將這個(gè)問題報(bào)告給谷歌之后，David Schütz 在 37 分鐘后就收到了回復(fù)，知道對方已經(jīng)已將這個(gè) Bug 分類并提交內(nèi)部——然而，在這之后谷歌反饋的速度就再也沒這么積極了。

不僅如此，David Schütz 自己還查了一下谷歌的漏洞獎(jiǎng)勵(lì)計(jì)劃，根據(jù)他發(fā)現(xiàn)的這個(gè)漏洞級別，按理說是可以拿到 10 萬美元的獎(jiǎng)勵(lì)，但谷歌方面指出，他提出的這個(gè) Bug 之前已經(jīng)有人報(bào)告過，因此不予獎(jiǎng)勵(lì)。

好吧，對于這個(gè)回答 David Schütz 無奈接受了，畢竟他也無從考究，但出于安全考慮，他一直催促著谷歌方面盡快修復(fù)這個(gè) Bug。

可直到他報(bào)告這個(gè)漏洞的三個(gè)月后，David Schütz 發(fā)現(xiàn)他還是可以通過上面的操作解鎖手機(jī)，于是他終于忍不了了：今年 9 月，在谷歌舉辦的一場名為 ESCAL8 的 Bug 獵人活動(dòng)上，David Schütz 找了好幾個(gè)谷歌工程師，當(dāng)面給他們演示這一漏洞。

或許是因?yàn)橛H眼看到兩分鐘不到就能解鎖手機(jī)帶來的沖擊，事后谷歌 Android VRP 團(tuán)隊(duì)回應(yīng)說他們會(huì)盡快修復(fù)這個(gè)漏洞，最終該漏洞已在 11 月 5 號的系統(tǒng)安全更新中得到了修復(fù)。

另外值得一提的是，后來谷歌還是因?yàn)檫@一漏洞，獎(jiǎng)勵(lì)了 David Schütz 7 萬美元，理由是：“雖然你的報(bào)告是重復(fù)的，但正是因?yàn)槟愕膱?bào)告，我們才開始修復(fù)這個(gè)漏洞，所以我們決定破例，為你的發(fā)現(xiàn)獎(jiǎng)勵(lì) 7 萬美元。”

看過 David Schütz 的分享，許多網(wǎng)友很快掏出自己的手機(jī)試了試。在 HackerNews 上，有人指出不僅是 Pixel，在非 Pixel 的 Android 12 或更高版本的手機(jī)上也能重現(xiàn)該漏洞，而 Android 11 手機(jī)好像沒有這個(gè) Bug。

也有網(wǎng)友提出，如果沒有在手機(jī)上設(shè)置鎖定 SIM 卡，即開機(jī)時(shí)無需輸入 SIM 卡 PIN 碼，是否會(huì)比較安全？但實(shí)際上，SIM 卡鎖是通過 SIM 卡本身管理的，也就是說不論你的手機(jī)有沒有給 SIM 卡設(shè)置密碼，只要攻擊者帶了一張?jiān)O(shè)有 PIN 碼的 SIM 卡，就可以通過該漏洞解鎖別人的手機(jī)。

那么，你的安卓手機(jī)是否更新了系統(tǒng)，如今有沒有這個(gè) Bug？

參考鏈接：

• https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/

• https://www.reddit.com/r/Android/comments/yrcri0/accidental_70k_google_pixel_lock_screen_bypass/