local Key Attestation 验证饶过

pareto

bootloaderspoofer 插件分析

自己做了一个本地绕过的脚本效果不是很理想，又去研究大佬的脚本，这个大佬的每次commit 基本我都看了，被大佬的底蕴折服，也印证了一句话，知识面越广，攻击面越广。
https://github.com/chiteroman/BootloaderSpoofer

核心流程见注释

[Java] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

public class Xposed implements IXposedHookLoadPackage {     private static int indexOf(byte[] array) {         final byte[] PATTERN = {48, 74, 4, 32, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 0, 10, 1, 2};         outer:         for (int i = 0; i < array.length - PATTERN.length + 1; i++) {             for (int j = 0; j < PATTERN.length; j++) {                 if (array[i + j] != PATTERN[j]) {                     continue outer;                 }             }             return i;         }         return -1;     } &#8203;     @Override     public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {         try {             KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");             KeyStoreSpi keyStoreSpi = (KeyStoreSpi) XposedHelpers.getObjectField(keyStore, "keyStoreSpi");             XposedHelpers.findAndHookMethod(keyStoreSpi.getClass(), "engineGetCertificateChain", String.class, new XC_MethodHook() {                 @Override                 protected void afterHookedMethod(MethodHookParam param) throws Throwable {                     Certificate[] certificates = (Certificate[]) param.getResultOrThrowable();                     if (certificates[0] instanceof X509Certificate cert) { &#8203;                         for (Method method : cert.getClass().getMethods()) {                             if (method.getName().toLowerCase(Locale.ROOT).contains("verify")) {                                 // verify 不抛出异常表示验证通过                                 XposedBridge.hookMethod(method, XC_MethodReplacement.DO_NOTHING);                             }                         } &#8203;                         //获取证书编码,修改部分偏移的数据                         //修改Device locked:true                         //修改Verified boot state: Verified                         byte[] bytes = cert.getEncoded();                         if (bytes == null || bytes.length == 0) return;                         int index = indexOf(bytes);//这个索引？                         if (index == -1) return;                         bytes[index + 38] = 1;                         bytes[index + 41] = 0; &#8203;                         //替换证书                         CertificateFactory certFactory = CertificateFactory.getInstance("X.509");                         X509Certificate modCert = (X509Certificate) certFactory.generateCertificate(new ByteArrayInputStream(bytes));                         certificates[0] = modCert;                         param.setResult(certificates);                     }                 }             });         } catch (Throwable t) {             XposedBridge.log(t);         }     } }

这一版问题很明显，challenge 没有饶过，被修改的证书内容，实际无法通过公钥验证；又更新了一个版本，卧槽 被大佬深厚的底蕴震撼v3.5 , 这个版本的思路， 弥补之前的短板：

• challenge 没有修复
• 证书被修改后，实际没法通过公钥验证
  

那chiteroman怎么做的呢？

• hook generateKeyPair ，返回插件预置的公私钥
• hook setAttestationChallenge ，实时获取challenge
• 替代 engineGetCertificateChain  函数，伪造整条证书链、并写入challenge
  

是吧 这个思路看起来很nice ，不过也存在问题 , 始终使用的内置的公私钥。换句话说，无论生成几次公私钥，始终是同一个公私钥,这一点问题。正常产生的公钥




怎么解决呢？

• 内置多个证书
• 中间人实时生产证书
  

我正在开发的脚本，思路就是直接走一个中间人发证书。因为个人兴趣原因，后续可能也会做很多设备异常判定的研究，有相同志向的小伙伴 不做黑产！！纯研究，可以私信我。我看人多的话，就拉个群大家一起交流。

https://github.com/chiteroman/BootloaderSpoofer
https://github.com/doom-man/bypasskeyattestation/blob/main/docs/other.md

Hmily

这个帖子图片也有问题会很快失效，看这个修改https://www.52pojie.cn/misc.php? ... 29&messageid=36

spawn_fly

学习了，谢谢！！

v12608

好好研究一下

Skyblue332

这是不是和Android手机上的TEE有关？

pareto

Skyblue332 发表于 2023-12-28 02:26
这是不是和Android手机上的TEE有关？

是的，也可以是SE

zhangting2022

感谢感谢分享

vae666

佬，咋还断更了，继续学起来