简单来说,Android 系统中有一个叫做“安全屏幕”的东西,其中包含两种东西:
一种是 PIN、指纹、密码等各种直接解锁密保的屏幕操作。
另一种是 SIM PIN 和 SIM PUK 等各种解锁手机锁定状态的操作。
这些操作被放在一个栈(stack)中。
正常解锁谷歌安卓手机时,直接用 PIN、指纹或密码都可以,但不能超过 3 次,否则就会被锁定。
但如果忘记密码,手机(在输入 3 次错误密码后)被强制锁定了,同时 SIM PIN 条目可见,它就会被放置在其他屏幕解锁操作之上,用来让你解除手机的锁定状态。
栈的原理
这时候,如果使用 SIM 卡自带的 PUK 密码,就能通过一个叫“PUK 重置组件”的模块调用.dismiss() 函数,将手机锁定解除,并继续显示栈下面的其他屏幕解锁操作,在小哥的案例中是指纹锁屏。
就是这个函数
这里注意,.dismiss() 函数可不是一个“专人专用”的函数,它不仅会解除 SIM 卡的手机锁定屏幕,连 PIN、密码和指纹之类的正常锁屏也能解锁……
这就导致它极容易受到竞态条件影响,一旦两个线程执行顺序出现一点儿误差,就可能导致屏幕解锁出现问题,也就是说这个BUG并不是必现的,有可能同样的环境下你测试的时候没有这个漏洞。
举个例子,如果在“PUK 重置组件”的模块调用.dismiss () 函数之前,就有操作改变了当前的安全屏幕,那么.dismiss () 函数就可能误解锁指纹锁屏。
关键地方在于,由于手机 SIM 卡状态是随时更新的(系统一直在监视 SIM 卡状态),因此如果 SIM 卡状态发生变化,系统也会更新当前的安全屏幕。
所以一旦“PUK 重置组件”成功调用了.dismiss () 函数,它就会在解锁 PUK 屏幕之前,直接先解锁了指纹锁屏!
根据谷歌公开的漏洞报告,它在 Android 10 到 Android 13 系统中都可能出现:
也有网友测试发现,Android 11 似乎不受影响,而是在 Android 12 中出现了。
还有网友发现
