2016年ios公开可利用漏洞总结

小鱼儿 2022-07-12 06:38 116阅读 0赞

文章出处： [ 点击这里][Link 1]

## 0x00 序 ##

iOS的安全性远比大家的想象中脆弱，除了没有公开的漏洞以外，还有很多已经公开并且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），希望能够对大家移动安全方面的工作和研究带来一些帮助。

## 0x01 IOS 10.1.1 公开的可利用漏洞 ##

1. mach\_portal攻击链：该攻击链是由Google Project Zero的Ian Beer公布的。整个攻击链由三个漏洞组成:损坏的内核port的uref可导致任意进程的port被越权替换（CVE-2016-7637），powerd任意port替换可导致DoS（CVE-2016-7661），因为set\_dp\_control\_port没有上锁导致的XNU内核UaF（CVE-2016-7644）。

攻击者先使用CVE-2016-7637将launchd与”com.apple.iohideventsystem”系统服务具有发送权限的port替换成自己控制的进程的port，并攻击者还具有该port的接收权限。然后，攻击者利用CVE-2016-7661对powerd这个进程进行DoS，使其重启。在启动过程中，因为powerd的启动需要用到”com.apple.iohideventsystem”系统服务，于是将task port发送给了这个系统服务。但因为攻击者利用之前的CVE-2016-7637漏洞获取了”com.apple.iohideventsystem”系统服务port的接收权限，因此攻击者获得了powerd的task port，从而控制了具有root权限并且在沙盒外的powerd进程。攻击者随后利用powerd进程的task port获取到了host\_priv port，然后利用host\_priv port触发因set\_dp\_control\_port没有上锁而导致的XNU内核UaF（CVE-2016-7644）漏洞，从而控制了kernel task port。攻击者在获取了kernel task以后，就可以利用系统提供的mach\_vm\_read()和mach\_vm\_write()去进行任意内核读写了。

2016年12月22日，qwertyoruiop在Ian Beer公布的mach\_portal攻击链的基础上，加入了KPP的绕过、内核patch和cydia的安装，并在自己的twitter上发布了iOS 10.1.\*的越狱。

## 0x02 IOS 9.3.4 公开的可利用漏洞 ##

[![黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结][- 2016_iOS]][- 2016_iOS_- 2016_iOS]

1. PEGASUS 三叉戟攻击链：该攻击链是在对阿联酋的一位人权活动家进行apt攻击的时候被发现。整个攻击链由三个漏洞组成：JSC远程代码执行（CVE-2016-4657），内核信息泄露（CVE-2016-4655），内核UAF代码执行（CVE-2016-4656）。

在浏览器漏洞方面，由于iOS系统的JavaScriptCore库的MarkedArgumentBuffer类在垃圾回收的时候可能会造成内存堆破坏，导致黑客可以使用该漏洞泄露对象地址以及执行任意指令。在内核漏洞方面，由于XNU内核的OSUnserializeBinary()函数在反序列化用户态传入的数据时没有对OSNumber的长度进行校验，导致可以泄露内核的栈信息。利用精心构造的OSString对象，还可以触发UAF漏洞并导致内核代码执行（具体的分析可以参考我们之前的文章：基于PEGASUS的OS X 10.11.6本地提权：[https://jaq.alibaba.com/community/art/show?articleid=531][https_jaq.alibaba.com_community_art_show_articleid_531]）。利用该攻击链可以做到iOS上的远程完美越狱，可以说是近几年来影响最大的iOS漏洞之一了。并且在未来，极有可能出现利用该漏洞的iOS大面积挂马事件。

## 0x03 IOS 9.3.3 公开的可利用漏洞 ##

1. IOMobileFramebuffer Heapoverflow 内核漏洞: 该漏洞存在于IOMobileFramebuffer这个内核服务中。在IOMobileFramebuffer::swap\_submit(IOMFBSwap \*)这个函数中，因为没有对用户态传入的IOMFBSwap数据进行校验，从而导致内核堆溢出。利用该漏洞可以在沙盒内（不需要沙盒逃逸）直接对内核进行攻击，并完成非完美越狱。该漏洞在iOS 9.3.3盘古越狱(女娲石)中被使用。

## 0x04 IOS 9.3.2 公开的可利用漏洞 ##

1. WebKit RCE heapPopMin 远程代码执行漏洞: 因为Webkit模块中的WebCore ::TimerBase::heapPopMin()存在内存破坏漏洞，利用该漏洞可以对iOS设备进行远程攻击。当用mobile safari浏览有恶意攻击代码的网页的时候，safari将会被黑客控制。但要注意的事，被控制的仅仅是safari，想要获取用户数据还需要进行沙盒逃逸，想要控制手机还需要对内核进行攻击。另外，因为webkit不光存在于iOS中，因此该漏洞还被用于PS4，Kindle等设备的越狱。

2. GasGauge 条件竞争内核漏洞: 该漏洞存在于GasGauge这个内核服务中，因为在free内存的时候没有进行加锁操作，黑客可以开多个线程进行free操作，当竞争成功的时候可以造成double free的漏洞，随后可以转化为任意zone的UAF并控制内核，并完成非完美越狱。需要注意的是，该内核服务并不能在沙盒内直接访问，所以想要利用该漏洞，需要先做到沙盒逃逸。

## 0x05 IOS 9.3.1 公开的可利用漏洞 ##

[![黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结][- 2016_iOS 1]][- 2016_iOS_- 2016_iOS]

1. inpuTbag Heapoverflow 内核漏洞: 该漏洞是阿里移动安全的OverSky团队发现并公布的，该漏洞存在于IOHIDDevice这个内核服务中，因为没有对Input report的szie做检测从而造成内核堆溢出。利用该漏洞可以对内核进行攻击，并完成非完美越狱。需要注意的是，该内核服务需要在沙盒外并拥有”com.apple.hid.manager.user-access-device”这个entilement才能访问，所以想要利用该漏洞，需要先做到沙盒逃逸，然后绕过entilement的检测才能利用。

## 0x06 IOS 9.1 公开的可利用漏洞 ##

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 该漏洞存在于com.apple.PersistentURLTranslator.Gatekeeper这个系统服务中，在盘古越狱中被使用，通过利用改漏洞，一个在沙盒内的app可以做到mobile权限的沙盒外任意文件读写，配合dyld的漏洞可以做到沙盒外的任意代码执行。

2. CVE-2015-7084 IORegistryIterator 内核漏洞: 该内核漏洞存在于IOKit中，因为IORegistryIterator对象没有线程互斥的保护，导致对成员进行操作的时候可能出现错误。该漏洞可以在沙盒内直接通过race condition触发, 随后转化为内核信息泄露以及内核的代码执行，并做到非完美越狱。

## 0x07 IOS 9.0 公开的可利用漏洞 ##

[![黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结][- 2016_iOS 2]][- 2016_iOS_- 2016_iOS]

1. CVE-2015-6974 IOHIDFamily 内核漏洞：该漏洞存在于IOHIDResource这个内核服务中，在terminateDevice后，系统没有将device设置为NULL,从而造成UAF漏洞。该漏洞在盘古iOS 9.0越狱中被使用，利用该漏洞可以做到内核的任意读写，并完成非完美越狱。需要注意的是，该内核服务并不能在沙盒内直接访问，所以想要利用该漏洞，需要先做到沙盒逃逸。

## 0x08 总结 ##

可以看到2016年的公开可利用的漏洞数量是非常巨大的，相对2015年可以说是有了一个指数级的增长。虽然苹果更新系统的速度非常快并且无法降级，但随着老设备（iPhone 4s及以下已无法升级iOS 10）越来越多，并且用户对新系统期望越来越低，iOS设备的更新率已经变得非常缓慢。

[![黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结][- 2016_iOS 3]][- 2016_iOS_- 2016_iOS]

根据某专业移动分析平台2016年12月的数据可以看到，仅有3.28%的设备更新了最新版的iOS 10.2。这意味着96.72%的设备都有被最近刚发布的mach\_portal漏洞攻击的风险。我们相信，在新的一年，iOS的漏洞数量还会持续增加，并且随着漏洞利用技术的公开，黑灰产也极有可能利用漏洞对用户进行攻击，希望广大用户一定要注意自己iOS设备的安全。

最后，对本文提到的漏洞感兴趣的同学可以在我们的github上学习相关的资料：[https://github.com/zhengmin1989/GreatiOSJailbreakMaterial][https_github.com_zhengmin1989_GreatiOSJailbreakMaterial]

转载自：http://jaq.alibaba.com/community/art/show?articleid=687 原文作者：蒸米，耀刺，黑雪 @ Team OverSky

[ios 系统漏洞][ios]

**27** 2016-12

--------------------

page: [2][]

### 利用漏洞解锁锤子T1/2手机的Bootloader ###

[安卓逆向分析][Link 2] BY [DROIDSEC][]

### 关于Bootloader锁 ###

Smartisan是手机中为数不多倾心于工业设计和用户体验的。老罗跨界过猛，也难免导致其最初的想法和现实存在差距。bootloader到底锁还是不锁，甚至曾被一个T1用户弄上法庭来质问。

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader]][2]

当然，能从认为加锁是对系统的不自信，到后来发现解锁是安全隐患，绝对是个进步（loser口中的打脸）。技术层面来说，究竟T系列手机的bootloader能不能解锁呢？答案是，能。或者说，本来不能，但由于bootloader里存在的两个漏洞，恰好可解。

### 分析Bootloader ###

正像Smartisan OS本身，其ROM目录结构也是极简的。firmware-update目录下emmc\_appsboot.mbn就是bootloader镜像。由于是ELF格式，不需要更多的处理，就能逆向出不错的代码结构。无论是T1还是T2，bootloader的代码差不多，下面的分析选择的是T2的2.6版的ROM。

和很多高通芯片的手机一样，T2的bootloader是基于高通开源的lk。所以参考源码，可以很快梳理出bootloader的执行流程。启动后，根据按键组合，决定是否进入recovery，如果继续留在bootloader模式，就会注册一系列fastboot command，循环等待用户输入，决定下一步动向，如图1。

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 1]][2]

图1.注册fastboot command

显然，control\_flag为0的话，cmd\_table中只有前四条命令被注册，后续命令就都无法使用了。通过观察cmd\_table（如图2），可以发现那些真正令人激动的函数（比如oem unlock）都在比较靠后的位置上。

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 2]][2]

图2.fastboot可以注册的命令列表

在搞清楚control\_flag这个全局标记到底何去何从之前，不如先探探这仅存四条命令的究竟。reboot，reboot-bootloader命令正像他们的名字一样无趣，flash看起来就很有故事了。

执行flash命令时，如果control\_flag为0，那就只能写一个名为security的分区。而control\_flag为1时，所有其他分区就都可以写了，如图3所示：

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 3]][2]

图3.写分区时的判断

联想之前fastboot command注册的过程，control\_flag为0时，绝大部分功能无效，且分区不可写，control\_flag应该就是is\_allow\_unlock，即bootloader是否上锁的标记。系统启动时，is\_allow\_unlock默认置0。当flash了security分区后，is\_allow\_unlock会有一次赋值操作，并且一旦赋值为1，就会提示解锁成功，如图4所示：

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 4]][2]

图4.对security分区的检测，判断是否可以解锁

分析到这里基本可以肯定，T2提供了解锁功能，关键是写入security分区的内容是否能够经得住考验。

### 解锁Bootloader ###

verify\_security()函数比较复杂，涉及很多密码学算法的演绎。好在它使用的是openssl的标准库函数，识别起来有章可循。security分区内容采用的是RSA+MD5签名校验。合理的猜测是，官方本来设计的解锁流程其他厂商类似，即用户提交手机的序列号等信息，然后通过unlock时输入厂商给的解锁码（根据序列号计算出来的签名信息），实现解锁。只不过这一次解锁码是通过写入security分区实现输入。

security\[128\]（security分区第128字节）是RSA初始化函数选择的依据，security\[129\]作为序列号长度。然后factory\[5\]（factory分区的第5字节）起始的序列号作为MD5的计算依据，得到的hash值和security\[0-127\]签名信息验证的结果做比，相同返回1，否则返回0。这几乎是每个签名验证的都在用的标准化流程，采用的算法成熟，且由openssl实现（难怪发布会几百万门票钱捐给了openssl），基本不会有瑕疵。由于bootloader只存放了公钥e，没有私钥d，手机用户自己是没办法构造出128字节的签名信息的。

不过，由于代码上一些不大不小的问题，我们恰好可以绕过这些限制，构造出和序列号无关的通用解锁码。首先在RSA初始化时，如图5和6，当security\[128\]为66和67以外的数值时，初始化函数被选择为sub\_F924A90。

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 5]][2]

图5.根据security\[128\]指定的函数来初始化RSA密钥

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 6]][2]

图6.RSA密钥初始化

跟进sub\_F924A90后，可以看见图6所示的密钥填充，BN\_bin2bn是openssl的库函数，用于将内存中存放的Big-Endian字符数组转化为Bignum类型，方便RSA的内部计算。私钥d填写的是伪数值，但p和q都填写的是真值。侧面说明写这段代码的人不太了解RSA，毕竟其安全性完全依赖于大数分解的NP难，而现在n的两个素数因子p和q都给了，虽然本意是加快计算速度，但私钥d也就因而可以从公钥e推出来了，d=e\-1mod (p-1)(q-1)，这就导致了第一个逻辑漏洞，用于伪造签名。

接下来，如图7，完成了RSA的初始化以后，会接着从factory分区读取数据：

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 7]][2]  
图7. 读取factory分区，得到序列号，然后计算MD5

究竟从factory分区读取多少字节是可控的，由security\[129\]决定。读取出来正常应该是一串字母开头后接一串数字的序列号，MD5后得到一串16字节的hash。最后利用RSA的公钥验证security\[0-127\]的128字节签名是否属于hash。

由于security\[129\]完全可控，就导致了第二个逻辑漏洞。如果该数指定为0，则MD5是针对一个空字符串进行计算的，计算结果总是d41d8cd98f00b204e9800998ecf8427e。所以无论是哪台手机，factory分区内容如何，签名验证将总是针对常量进行。只要构造该常量的签名写入security分区，就能够完成解锁。

为了减少padding，encoding等一系列开发可能造成的不确定性，在生成解锁码时，同样采用openssl的代码实现，示例如下：

> \#include <stdio.h>
> 
> \#include <string.h>
> 
> \#include <openssl/md5.h>
> 
> \#include <openssl/crypto.h>
> 
> \#include <openssl/rsa.h>
> 
> unsigned char m3\_n\[128\] = \{\\
> 
> 0xA4,0x0C, 0x69, 0x70, 0x25, 0x4F, 0x36, 0x49, 0x8E,\\
> 
> 0x83,0x4B, 0x74, 0x9A, 0x75, 0xC9, 0xF4, 0x7F, 0xE5,\\
> 
> 0x62,0xA8, 0xDE, 0x11, 0x13, 0x03, 0x57, 0x89, 0x31,\\
> 
> 0xCB,0x58, 0x84, 0xC8, 0x26, 0xBA, 0x2B, 0x60, 0xB5,\\
> 
> 0xB8, 0xA5, 0xD9, 0xBD, 0x27, 0x48, 0x3D,0x33, 0x38,\\
> 
> 0xA1,0x72, 0x62, 0x64, 0x87, 0x5E, 0x71, 0xF4, 0x1F,\\
> 
> 0xCB,0x68, 0x83, 0x92, 0xEA, 0x4B, 0xFF, 0x06, 0x38,\\
> 
> 0xAF,0xD5, 0x65, 0x55, 0x94, 0x04, 0x91, 0x88, 0xF7,\\
> 
> 0xA4,0x57, 0x72, 0x29, 0xFE, 0xEA, 0xB1, 0x27, 0x25,\\
> 
> 0xC1,0x12, 0x7D, 0x16, 0x6F, 0x13, 0xAF, 0xE2, 0x00,\\
> 
> 0x8D,0x5E, 0xA4, 0x0A, 0xB6, 0xF3, 0x71, 0x97, 0xC0,\\
> 
> 0xB0,0x60, 0xF5, 0x7C, 0x7F, 0xAA, 0xC4, 0x64, 0x20,\\
> 
> 0x3F,0x52, 0x0A, 0xA3, 0xC3, 0xEF, 0x18, 0xB6, 0x45,\\
> 
> 0x7D,0x72, 0x1E, 0xE2, 0x61, 0x0C, 0xD0, 0xD9, 0x1D,\\
> 
> 0xD0,0x5B\\
> 
> \};
> 
> unsigned char m3\_e\[1\] = \{3\};
> 
> unsigned char m3\_d\[128\] = \{\\
> 
> 0x6d,0x5d,0x9b,0xa0,0x18,0xdf,0x79,0x86,0x5f,0x02,0x32,0x4d,0xbc,0x4e,0x86,0xa2,\\
> 
> 0xff,0xee,0x41,0xc5,0xe9,0x60,0xb7,0x57,0x8f,0xb0,0xcb,0xdc,0xe5,0xad,0xda,0xc4,\\
> 
> 0x7c,0x1c,0xeb,0x23,0xd0,0x6e,0x91,0x28,0xc4,0xda,0xd3,0x77,0x7b,0x16,0x4c,0x41,\\
> 
> 0x98,0x5a,0x3e,0xf6,0xa2,0xbf,0xdc,0xf0,0x57,0xb7,0x46,0xdd,0x54,0xae,0xd0,0x74,\\
> 
> 0x27,0xaa,0xad,0xf9,0xb9,0x33,0x8f,0x29,0x3b,0xf2,0xee,0x97,0x03,0x0b,0x5c,0xfc,\\
> 
> 0x92,0x95,0x6f,0x05,0xcd,0xbf,0x1c,0x77,0x16,0xce,0xd9,0x13,0xfb,0xf2,0x8f,0x74,\\
> 
> 0x09,0xca,0x78,0xf0,0xc7,0x4a,0xc2,0xc5,0xed,0x58,0xc1,0xfa,0xa1,0x6f,0x64,0x26,\\
> 
> 0x73,0x75,0x73,0x97,0x21,0xb4,0x01,0x13,0xad,0xd7,0xd5,0xbc,0x22,0x75,0x00,0xcb,\\
> 
> \};
> 
> int main(int argc, char\*argv\[\]) \{
> 
> MD5\_CTX md5ctx;
> 
> unsigned chardigest\[MD5\_DIGEST\_LENGTH\];
> 
> unsigned charsigret\[128\];
> 
> unsigned int siglen;
> 
> unsigned chartestdata;
> 
> MD5\_Init(&md5ctx);
> 
> MD5\_Update(&md5ctx, &testdata, 0);
> 
> MD5\_Final(digest, &md5ctx);
> 
> RSA \*rsa =RSA\_new();
> 
> rsa->n =BN\_bin2bn(m3\_n, 128, rsa->n);
> 
> rsa->e =BN\_bin2bn(m3\_e, 1, rsa->e);
> 
> rsa->d =BN\_bin2bn(m3\_d, 128, rsa->d);
> 
> RSA\_sign(4,digest, 16, sigret, &siglen, rsa);
> 
> FILE \*fp =fopen(“security.img”,”wb”);
> 
> fwrite(sigret, siglen, 1, fp);
> 
> fwrite(“\\x40\\x00”, 2, 1, fp);
> 
> fclose(fp);
> 
> return 0;
> 
> \}

刷入security.img后，手机就可以解锁了。虽然上述分析是基于T2的ROM，T1也完全适用。如图8所示，T1刷入security.img同样可以解锁。

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 8]][2]  
图8. T1刷入security.img后解锁

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 9]][2]

图9.T2刷入security.img后解锁

### And Then Some ###

2014年老罗在微博上提过关于bootloader方面的打算，“官方会提供 boot loader，方便你刷机，只是刷机后会失保”，所以初代ROM里的确如我们所见保留了解锁bootloader的功能。2016年有人因为提供解锁而状告Smartisan，老罗胜诉后说道“我在微博上说过做bootloader，但技术部门因安全考虑否决了，我代表我自己道歉。”，所以肯定是取消了该功能。尽管官方从来没有发布过任何解锁的方法，底层代码倒是可以清晰反映出这段经历。

对于T1和T2，2.6.7是最后一个可以解锁的ROM版本号，2.6.8开始，fastboot command列表被改写为图10所示内容，大部分指令被阉：

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 10]][2]

[![利用漏洞解锁锤子T1/2手机的bootloader][T1_2_bootloader 11]][2]

图10. 2.6.8后的版本中fastboot已经没有什么实质功能了

所以如果要解锁3.x的Smartisan OS，可以下载2.6.7的ROM完成降级，毕竟旧版本的ROM同样带有签名，使用recovery时允许刷入手机。更新到旧版的bootloader后，再用fastboot flash security security.img进行解锁。解锁后，每次升级用第三方无签名验证的recovery，更新除bootloader以外的模块即可。这样即便最新系统暂时没有公开的内核漏洞，也能root。

一般的Android手机，只要有签名认证的老版本bootloader里有漏洞，在系统没有开启限制（比如SW\_ID）时，总可以通过降级，解锁，然后升级回新系统，刷入supersu的方式root。

转载自：http://blog.pangu.io/%e5%88%a9%e7%94%a8%e6%bc%8f%e6%b4%9e%e8%a7%a3%e9%94%81%e9%94%a4%e5%ad%90t12%e6%89%8b%e6%9c%ba%e7%9a%84bootloader/

原文作者：PanguTeam

[bootloader解锁][bootloader] [锤子手机][Link 3]

**07** 2017-02

--------------------

page: [3][]

### 使用AT调制解调器命令解锁LG Android屏幕 ###

[APP漏洞挖掘][APP], [智能设备安全][Link 4] BY [DROIDSEC][]

现代智能手机不仅仅是用于语音呼叫的设备。现在，他们包含了大量的个人数据 – 联系人列表，通信历史，照片，视频，地理坐标等。大多数智能手机也可以作为一个调制解调器。

几乎每个调制解调器都是Hayes兼容的，这意味着它支持Hayes在1977年开发的AT语言的命令。每个型号都支持一些由制造商定义的基本命令集。有时这个命令集可以扩展,并可以包含非常有趣的命令。

让我们研究LG智能手机的行为。当您通过USB将其连接到计算机时，您可以自动访问调制解调器（图1）。LG特有的是，即使手机的屏幕被锁定，调制解调器也可用。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android]][3]

图片1

因此，即使手机受密码保护，我们也可以使用AT命令了解有关手机的一些有用信息。（图2）。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 1]][3]

图片2

要了解这个模式支持什么命令，我们必须检查其固件。例如，对于Android智能手机，我们只需要研究文件/ system / bin / atd。图片3-5演示了在LG G3 D855手机上找到的一些AT命令。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 2]][3]

图片3

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 3]][3]

图片4

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 4]][3]

图片5

很明显，手机支持大多数基本的AT +命令集，可以用于提取关于它的公共信息（图5）。但最感兴趣的是LG专有命令（AT％类型的命令）。这些命令（如AT％IMEIx，AT％SIMID，AT％SIMIMSI，AT％MEID，AT％HWVER，AT％OSCER，AT％GWLANSSID）返回有关手机的基本信息。其中包括一个命令AT％KEYLOCK（图4）。你可能猜到这个命令允许你管理屏幕锁定状态。为了研究这个命令行为，我们可以运行一个调试器并使用交叉引用来找到它的处理函数代码。如图6所示。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 5]][3]

图片6

当调用命令AT％KEYLOCK时，根据参数数量，会从/system/lib/libatd\_common.so库中调用lge\_set\_keylock（）或lge\_get\_keylock（）函数。图7显示出了函数lge\_set\_keylock（）的代码。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 6]][3]

图片7

正如你从图片8中看到的，如果你传递给函数lge\_set\_keylock（）的值为“0”= 0x30，它将最终调用该函数，这将移除屏幕锁,无论你是用什么方法来锁定它（你可以使用PIN，密码，模式或指纹来锁定屏幕）。然后它将返回字符串“\[0\] KEYLOCK OFF”（图8）。

[![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 7]][3][![使用AT调制解调器命令解锁LG Android屏幕][AT_LG Android 8]][3]

图片8

很明显，命令AT％KEYLOCK = 0允许您删除屏幕锁定，而无需任何额外的操作。

值得一提的是，此命令只会删除屏幕锁定，而不会影响用户设置。该命令的工作原理如下：它将零值（意味着解锁）写入特殊RAM区域，该区域存储着负责屏幕锁定的值。这意味着该命令不以任何方式修改ROM。此行为是可以用来取证的，因为不访问任何用户数据，并且重新启动智能手机后将返回锁定状态。该命令不允许调查员找到屏幕锁定PIN /模式/密码; 它只是删除它一段时间。

为了进行此分析，我们使用了LG G3 D855型号（带有V20g-SEA-XX固件）。然而，上述AT命令已经被证明在其他LG智能手机（LG G4 H812，LG G5 H860，LG V10 H960等）上也可以正常工作。所有这些模型支持这种方法。

因此，它是很容易解锁手机的。所有你需要只是拥有一个LG Android智能手机，然后通过USB连接到一台电脑。这个后门显然是LG的服务软件，但也可以用于取证目的。但要记住，罪犯也可以使用这种方法。

[Link 1]: http://www.droidsec.cn/%E9%BB%91%E4%BA%91%E5%8E%8B%E5%9F%8E%E5%9F%8E%E6%AC%B2%E6%91%A7-2016%E5%B9%B4ios%E5%85%AC%E5%BC%80%E5%8F%AF%E5%88%A9%E7%94%A8%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93/
[- 2016_iOS]: http://epo.alicdn.com/image/43mc2ha829s0.jpg
[- 2016_iOS_- 2016_iOS]: http://www.droidsec.cn/%e9%bb%91%e4%ba%91%e5%8e%8b%e5%9f%8e%e5%9f%8e%e6%ac%b2%e6%91%a7-2016%e5%b9%b4ios%e5%85%ac%e5%bc%80%e5%8f%af%e5%88%a9%e7%94%a8%e6%bc%8f%e6%b4%9e%e6%80%bb%e7%bb%93/
[https_jaq.alibaba.com_community_art_show_articleid_531]: https://jaq.alibaba.com/community/art/show?articleid=531
[- 2016_iOS 1]: http://epo.alicdn.com/image/43mc3pdoksp0.jpg
[- 2016_iOS 2]: http://epo.alicdn.com/image/43mc40ap1n20.png
[- 2016_iOS 3]: http://epo.alicdn.com/image/43mc42bnd8o0.png
[https_github.com_zhengmin1989_GreatiOSJailbreakMaterial]: https://github.com/zhengmin1989/GreatiOSJailbreakMaterial
[ios]: http://www.droidsec.cn/tag/ios-%e7%b3%bb%e7%bb%9f%e6%bc%8f%e6%b4%9e/
[2]: http://www.droidsec.cn/%e5%88%a9%e7%94%a8%e6%bc%8f%e6%b4%9e%e8%a7%a3%e9%94%81%e9%94%a4%e5%ad%90t12%e6%89%8b%e6%9c%ba%e7%9a%84bootloader/
[Link 2]: http://www.droidsec.cn/category/%e5%ae%89%e5%8d%93%e9%80%86%e5%90%91%e5%88%86%e6%9e%90/
[DROIDSEC]: http://www.droidsec.cn/author/droidsec/
[T1_2_bootloader]: http://blog.pangu.io/wp-content/uploads/2017/02/weibo.png
[T1_2_bootloader 1]: http://blog.pangu.io/wp-content/uploads/2017/02/code1.png
[T1_2_bootloader 2]: http://blog.pangu.io/wp-content/uploads/2017/02/code2-1.png
[T1_2_bootloader 3]: http://blog.pangu.io/wp-content/uploads/2017/02/code3-1.png
[T1_2_bootloader 4]: http://blog.pangu.io/wp-content/uploads/2017/02/code4-1.png
[T1_2_bootloader 5]: http://blog.pangu.io/wp-content/uploads/2017/02/code5-1.png
[T1_2_bootloader 6]: http://blog.pangu.io/wp-content/uploads/2017/02/code6-1.png
[T1_2_bootloader 7]: http://blog.pangu.io/wp-content/uploads/2017/02/code7-1.png
[T1_2_bootloader 8]: http://blog.pangu.io/wp-content/uploads/2017/02/unlock-1.jpg
[T1_2_bootloader 9]: http://blog.pangu.io/wp-content/uploads/2017/02/t2_unlock-1.jpg
[T1_2_bootloader 10]: http://blog.pangu.io/wp-content/uploads/2017/02/code8-1.png
[T1_2_bootloader 11]: http://blog.pangu.io/wp-content/uploads/2017/02/code9-1.png
[bootloader]: http://www.droidsec.cn/tag/bootloader%e8%a7%a3%e9%94%81/
[Link 3]: http://www.droidsec.cn/tag/%e9%94%a4%e5%ad%90%e6%89%8b%e6%9c%ba/
[3]: http://www.droidsec.cn/%e4%bd%bf%e7%94%a8at%e8%b0%83%e5%88%b6%e8%a7%a3%e8%b0%83%e5%99%a8%e5%91%bd%e4%bb%a4%e8%a7%a3%e9%94%81lg-android%e5%b1%8f%e5%b9%95/
[APP]: http://www.droidsec.cn/category/app%e6%bc%8f%e6%b4%9e%e6%8c%96%e6%8e%98/
[Link 4]: http://www.droidsec.cn/category/smart-devices-security/
[AT_LG Android]: http://p3.qhimg.com/t012da6c826812a29ad.png
[AT_LG Android 1]: http://p3.qhimg.com/t01c4e98e5c02b40b6a.png
[AT_LG Android 2]: http://p8.qhimg.com/t018df08b3f9f0e42ab.png
[AT_LG Android 3]: http://p8.qhimg.com/t01ea3e306e873a11c6.png
[AT_LG Android 4]: http://p7.qhimg.com/t01dc59ab8da2daf7c7.png
[AT_LG Android 5]: http://p6.qhimg.com/t01a3f6179ee1598e5b.png
[AT_LG Android 6]: http://p7.qhimg.com/t013aca965770dbf0e1.png
[AT_LG Android 7]: http://p6.qhimg.com/t01bf96eeb8068a0f77.png
[AT_LG Android 8]: http://p8.qhimg.com/t01f176c856e4c4d458.png