国外大神用一张SIM卡就破解了手机锁屏

是的你没听错，有个国外的小哥给别人的手机换了一张SIM卡，2分钟就解锁了安卓系统的锁屏。

小哥最先是在谷歌Pixel手机上发现这个BUG的，这个BUG的原理是切换手机SIM卡然后直接绕过手机本身的指纹解锁和密码保护。

而且这个BUG并不是谷歌Pixel手机才有的，其他安卓手机上也会有。例如，有网友试了试开源安卓系统LineageOS，就发现同样问题：

还有网友在自己的Android 12系统上试了下这种破解方式：

具体的破解方式如下：

首先，用错误的指纹或手机密码解锁手机，直到锁定手，也就是故意输错3次密码让手机锁住。

然后，找一张新的SIM卡，替换换原理手机上的SIM卡。

接下来，再用错误的SIM卡密码（注意：这里的密码是SIM卡密码）锁定SIM卡。

SIM卡被锁定后，手机便会索要其PUK密码，PUK密码一般在这SIM卡的原始包装上，在卡套的背面会有一个图层，刮开就可以看到密码，如果丢失也可直接打电话向运营商查询。

PUK码又叫做SIM卡自带的PIN解锁码，假如PIN密码忘记了，可以用PUK码解锁。

输入PUK密码后，直接重置新SIM的密码便能开锁，手机原有的密码和指纹都成功绕过。

那么，这个漏洞是如何发现的呢？

据说，当时小哥的手机电量快没了关机了，他充上电后重新启动，手机要求输入SIM卡的PIN码，但是他忘记了这个卡的PIN密码，就乱输入了几个密码导致把SIM卡锁定了。

如果解开这个SIM卡就要输入PUK密码，他找到原来的卡套包装后输入了PUK码。结果，重置SIM卡密码后，手机竟然自动解锁了。

小哥发现这个BUG之后，立马向谷歌提交了这个内部报告，因为谷歌是有一个叫做设备安全奖励计划的，如果第一个提交BUG给谷歌的人最高可以获得10万美金的奖励。

不过，在报告提交一个月之后，小哥收到了Android安全团队的一份邮件内容大概是：这个问题另一位外部研究人员之前已经报告过了。

也就是说，这位小哥拿不到10万美金了。

但是据说，这个小哥向谷歌反馈这个BUG之后，谷歌的安全团队半年才修好这个漏洞，因为修复这个漏洞并没有那么简单，从提交的修改情况来看，光是要改动的文件数量，就达到12个：

那么，这个漏洞究竟是怎么出现的？

简单来说，Android系统中有一个叫做“安全屏幕”的东西，其中包含两种东西：

一种是PIN、指纹、密码等各种直接解锁密保的屏幕操作；

另一种是SIM PIN、SIM PUK等各种解锁手机锁定状态的操作。

这些操作被放在一个栈（stack）中。

正常解锁谷歌安卓手机时，直接用PIN、指纹或密码都可以，但不能超过3次，否则就会被锁定。

但如果忘记密码，手机（在输入3次错误密码后）被强制锁定了，同时SIM PIN条目可见，它就会被放置在其他屏幕解锁操作之上，用来让你解除手机的锁定状态。

这时候，如果使用SIM卡自带的PUK密码，就能通过一个叫“PUK重置组件”的模块调用.dismiss () 函数，将手机锁定解除，并继续显示栈下面的其他屏幕解锁操作，在小哥的案例中是指纹锁屏。

这里注意，.dismiss () 函数可不是一个“专人专用”的函数，它不仅会解除SIM卡的手机锁定屏幕，连PIN、密码和指纹之类的正常锁屏也能解锁……

这就导致它极容易受到竞态条件影响，一旦两个线程执行顺序出现一点儿误差，就可能导致屏幕解锁出现问题，也就是说这个BUG并不是必现的，有可能同样的环境下你测试的时候没有这个漏洞。

举个例子，如果在“PUK重置组件”的模块调用.dismiss () 函数之前，就有操作改变了当前的安全屏幕，那么.dismiss () 函数就可能误解锁指纹锁屏。

关键地方在于，由于手机SIM卡状态是随时更新的（系统一直在监视SIM卡状态），因此如果SIM卡状态发生变化，系统也会更新当前的安全屏幕。

所以，一旦“PUK重置组件”成功调用了.dismiss () 函数，它就会在解锁PUK屏幕之前，直接先解锁了指纹锁屏！

根据谷歌公开的漏洞报告，它在Android 10到Android 13系统中都可能出现：

也有网友测试发现，Android 11似乎不受影响，而是在Android 12中出现了。

还有网友发现，三星手机没有这个问题：

也就是说，并不是所有的安卓系统都会出现，可能在某个版本上或者机型上才会出现这个BUG。

现在，谷歌的工程师们重构了.dismiss () 函数，给它打了个小补丁，让它只能解锁带有“SimPuk”标记的安全屏幕（也就是只能解除手机锁定屏幕）。

不过有网友认为，这不是这次漏洞的最优解，因为这不算彻底解决了这个问题。

试试你的安卓手机中出现了这个bug吗？