據(jù)The Hacker News消息，安全研究人員在對(duì)iOS Find My功能進(jìn)行安全分析時(shí)，首次發(fā)現(xiàn)了一種全新的攻擊面，攻擊者可篡改固件并將惡意軟件加載到藍(lán)牙芯片上，使該芯片在 iPhone “關(guān)閉”時(shí)執(zhí)行。

這是一種全新的惡意軟件潛在的運(yùn)行方式，其原理是利用了iOS在“電源儲(chǔ)備”低功耗模式 (LPM) 時(shí)關(guān)機(jī)，但藍(lán)牙、近場(chǎng)通信(NFC)和超寬帶(UWB)相關(guān)的無(wú)線芯片依舊繼續(xù)運(yùn)行的機(jī)制。

達(dá)姆施塔特工業(yè)大學(xué)的Secure Mobile Networking實(shí)驗(yàn)室 (SEEMOO) 的研究人員在一篇文章中寫(xiě)到，蘋果這樣做是為了啟用Find My等功能并促進(jìn)Express Card交易，但也讓三種無(wú)線芯片都可以直接訪問(wèn)所有安全元件。

研究人員表示，藍(lán)牙和UWB芯片被數(shù)據(jù)線連接到NFC芯片中的安全元素(SE)上，存儲(chǔ)那些應(yīng)該可以在LPM中使用的機(jī)密數(shù)據(jù)。

“由于LPM支持是在硬件中實(shí)現(xiàn)的，因此無(wú)法通過(guò)更改軟件組件來(lái)刪除它?，F(xiàn)有的iPhone關(guān)機(jī)后無(wú)法關(guān)閉無(wú)線芯片，這構(gòu)成了一種新的威脅模型。”

具體的調(diào)查結(jié)果將會(huì)在本周舉辦的ACM無(wú)線和移動(dòng)網(wǎng)絡(luò)安全隱私會(huì)議 (WiSec 2022) 上公布。

LPM 功能是蘋果在2021年iOS 15中新推出的，即使電池電量耗盡或已關(guān)閉，也可以使用“查找我的網(wǎng)絡(luò)”跟蹤丟失的設(shè)備。當(dāng)前支持超寬帶的設(shè)備包括iPhone 11、iPhone 12和iPhone 13。

關(guān)閉iPhone 時(shí)顯示的消息如下：“iPhone 關(guān)機(jī)后仍可找到。Find My可幫助您在iPhone丟失或被盜時(shí)找到它，即使它處于省電模式或關(guān)機(jī)時(shí)也是如此?！?/p>

研究人員將當(dāng)前的 LPM 實(shí)現(xiàn)稱為“不透明”，同時(shí)他們發(fā)現(xiàn)，在斷電期間初始化Find My廣告時(shí)有機(jī)會(huì)觀察到失敗，這與上述消息實(shí)際上相矛盾，他們還發(fā)現(xiàn)藍(lán)牙固件既沒(méi)有簽名，也沒(méi)有加密。

通過(guò)利用這個(gè)漏洞，具有特權(quán)訪問(wèn)權(quán)限的攻擊者可以創(chuàng)建在iPhone藍(lán)牙芯片上執(zhí)行的惡意軟件，那么即使它關(guān)機(jī)了也可以執(zhí)行。但是，要發(fā)生這種固件泄露，攻擊者必須要通過(guò)操作系統(tǒng)、固件通信以及修改固件映像。

換句話說(shuō)，這個(gè)想法是改變LPM應(yīng)用程序線程以嵌入惡意軟件，例如那些可以提醒惡意行為者受害者的Find My Bluetooth 廣播，使攻擊者能夠遠(yuǎn)程監(jiān)視目標(biāo)。

SEEMOO 研究人員指出：“除了更改現(xiàn)有功能外，他們還可以添加全新的功能。”此前他們已經(jīng)向蘋果披露了所有問(wèn)題，但這家科技巨頭“沒(méi)有反饋”。

由于 LPM 相關(guān)功能采用更隱蔽的方法來(lái)執(zhí)行其預(yù)期的案例，SEEMOO 呼吁 Apple增加一個(gè)基于硬件的開(kāi)關(guān)來(lái)斷開(kāi)電池，以減輕固件級(jí)攻擊可能引起的任何監(jiān)視問(wèn)題。

SEEMOO研究人員進(jìn)一步表示，由于LPM的功能是基于iPhone的硬件，所以無(wú)法通過(guò)系統(tǒng)更新將其刪除，它對(duì)整個(gè) iOS 安全模型產(chǎn)生持久的影響。

參考來(lái)源：https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html