近日，研究人員發(fā)現(xiàn)iPhone在關(guān)機(jī)狀態(tài)下仍在工作，即使手機(jī)斷電，也可能會(huì)面臨黑客攻擊和被植入惡意軟件的風(fēng)險(xiǎn)。

德國(guó)達(dá)姆施塔特（Darmstadt）大學(xué)安全移動(dòng)網(wǎng)絡(luò)實(shí)驗(yàn)室的研究人員發(fā)表了一篇名為《邪惡永不眠：當(dāng)無(wú)線(xiàn)惡意軟件在關(guān)閉iPhone后繼續(xù)運(yùn)行》（Evil Never Sleeps:When Wireless Malware Stays On After Turning Off iPhones）的論文，描述了一種破解關(guān)機(jī)狀態(tài)iPhone的理論方法。該研究檢查了無(wú)線(xiàn)模塊的操作，找到了分析藍(lán)牙固件的方法，從而引入了能夠完全獨(dú)立于設(shè)備操作系統(tǒng)iOS運(yùn)行的惡意軟件。

稍微想象一下，不難預(yù)見(jiàn)這樣一個(gè)場(chǎng)景：攻擊者將受感染的手機(jī)靠近受害者的設(shè)備并傳輸惡意軟件，然后竊取支付卡信息甚至虛擬車(chē)鑰匙。

之所以需要想象是因?yàn)樵撜撐牡淖髡咧皇抢碚撋献C明了這一點(diǎn)，距離實(shí)際的攻擊還差一步。即便如此，研究人員還是做了很多工作來(lái)分析手機(jī)的未記錄功能，對(duì)其藍(lán)牙固件進(jìn)行逆向工程，并對(duì)使用無(wú)線(xiàn)模塊的各種場(chǎng)景進(jìn)行建模。

首先要聲明一個(gè)重點(diǎn)：如果設(shè)備已關(guān)閉，但與它的交互（例如黑客攻擊）仍然是可能的，那么你猜怎么著——它并沒(méi)有完全關(guān)閉！

我們是如何做到關(guān)閉某些東西卻又沒(méi)完全關(guān)閉的呢？讓我們從頭說(shuō)起……

蘋(píng)果的低功耗（LPM）模式

2021年，Apple宣布即使設(shè)備關(guān)閉，用于定位丟失設(shè)備的Find My服務(wù)也能正常運(yùn)行。自iPhone 11以來(lái)，所有Apple智能手機(jī)都可以使用這項(xiàng)改進(jìn)功能。

例如，如果用戶(hù)在某處丟失了手機(jī)并且它的電池在一段時(shí)間后耗盡，它并不會(huì)完全關(guān)閉，而是切換到低功耗（Low-Power Mode，LPM）模式，其中只有非常有限的一組模塊保持活躍。這些主要是藍(lán)牙和超寬帶（UWB）無(wú)線(xiàn)模塊，以及近場(chǎng)通信（NFC）等。還有所謂的安全元件——一種安全芯片，用于存儲(chǔ)您最寶貴的秘密，例如用于非接觸式支付的信用卡詳細(xì)信息或車(chē)鑰匙（自2020年以來(lái)為有限數(shù)量的車(chē)輛提供的最新功能）。

LPM是iPhone的一種省電模式，該模式打開(kāi)時(shí)，手機(jī)狀態(tài)欄中的電池圖標(biāo)將變?yōu)辄S色，待iPhone或iPad充電至80%或更高電量后，蘋(píng)果的LPM會(huì)自動(dòng)關(guān)閉。

LPM模式下的藍(lán)牙用于數(shù)據(jù)傳輸，而UWB用于確定智能手機(jī)的位置。在LPM模式下，智能手機(jī)會(huì)發(fā)送有關(guān)自己的信息，路人的iPhone可以獲取這些信息。如果丟失手機(jī)的所有者在線(xiàn)登錄其Apple帳戶(hù)并將手機(jī)標(biāo)記為丟失，那么來(lái)自周?chē)悄苁謾C(jī)的信息將用于確定設(shè)備的下落。

不可否認(rèn)，LPM模式為用戶(hù)提供了便利，但也增加了安全風(fēng)險(xiǎn)，引發(fā)了信息安全專(zhuān)家的關(guān)注。為此，來(lái)自德國(guó)的研究團(tuán)隊(duì)決定在實(shí)踐中測(cè)試可能的攻擊場(chǎng)景。

關(guān)機(jī)之后的“Find My”功能

首先，研究人員對(duì)低功耗模式下的Find My服務(wù)進(jìn)行了詳細(xì)分析，發(fā)現(xiàn)了一些前所未知的特性。斷電后，大部分工作由藍(lán)牙模塊處理，通過(guò)一組iOS命令重新加載和配置。然后它會(huì)定期通過(guò)無(wú)線(xiàn)發(fā)送數(shù)據(jù)包，允許其他設(shè)備檢測(cè)到未真正關(guān)閉的iPhone。

事實(shí)證明，這種模式的持續(xù)時(shí)間是有限的：在iOS 15.3版本中，僅設(shè)置了96個(gè)廣播會(huì)話(huà)，間隔為15分鐘。也就是說(shuō)，丟失且關(guān)機(jī)的iPhone只能在24小時(shí)內(nèi)找到。如果手機(jī)因電池電量不足而關(guān)機(jī)，則窗口會(huì)更短——大約5個(gè)小時(shí)。這可以被視為該功能的一個(gè)“怪癖”，但也暴露了一個(gè)真正的錯(cuò)誤：有時(shí)當(dāng)手機(jī)關(guān)閉時(shí)，“信標(biāo)”模式根本沒(méi)有激活，雖然它應(yīng)該是激活的。

這里最有趣的是藍(lán)牙模塊在斷電前被重新編程；也就是說(shuō)，它的功能發(fā)生了根本性的改變。但是，如果它可以重新編程以損害所有者的利益，結(jié)果又會(huì)怎樣？

針對(duì)關(guān)機(jī)手機(jī)的攻擊

事實(shí)上，該研究團(tuán)隊(duì)的主要發(fā)現(xiàn)是藍(lán)牙模塊的固件并非加密，也未受到“安全啟動(dòng)”（Secure Boot）技術(shù)的保護(hù)。安全啟動(dòng)涉及在啟動(dòng)時(shí)對(duì)程序代碼進(jìn)行多級(jí)驗(yàn)證，以確保只有設(shè)備制造商授權(quán)的固件才能運(yùn)行。

缺乏加密允許分析固件和搜索漏洞，這些漏洞以后可用于攻擊。但是缺乏安全啟動(dòng)將允許攻擊者用他們自己的代碼完全替換制造商的代碼，然后藍(lán)牙模塊會(huì)執(zhí)行這些代碼。相較之下，對(duì)iPhone UWB模塊固件的分析顯示它受到Secure Boot的保護(hù)，但固件同樣未加密。

當(dāng)然，對(duì)于嚴(yán)重的實(shí)際攻擊來(lái)說(shuō)，這還不夠。為此，攻擊者需要分析固件，嘗試用自己制作的東西替換它，并尋找入侵的方法。該論文的作者詳細(xì)描述了攻擊的理論模型，但并未展示iPhone可以通過(guò)藍(lán)牙、NFC或UWB進(jìn)行實(shí)際的黑客攻擊。研究結(jié)果清楚表明，如果這些模塊始終處于打開(kāi)狀態(tài)，那么漏洞同樣將始終有效。

Apple對(duì)這項(xiàng)研究不以為然，并且拒絕提供任何信息。研究人員必須處理封閉的軟件代碼，且這些代碼通常是加密的。智能手機(jī)是一個(gè)龐大而復(fù)雜的系統(tǒng)，很難研究清楚，尤其是在制造商不配合甚至百般阻撓的情況下。

雖然這項(xiàng)研究發(fā)現(xiàn)稱(chēng)不上令人驚嘆，但它是大量艱苦工作的結(jié)果。而且這篇論文對(duì)關(guān)機(jī)手機(jī)電源的安全策略提出了質(zhì)疑，這些質(zhì)疑也被證實(shí)是有道理的。

半斷電（half powered-off）設(shè)備

該論文得出結(jié)論，藍(lán)牙固件沒(méi)有得到充分保護(hù)。理論上，可以在iOS中對(duì)其進(jìn)行修改，或者通過(guò)擴(kuò)展/更改其功能來(lái)重新編程相同的低功耗模式。然而，主要問(wèn)題是這些無(wú)線(xiàn)模塊（以及NFC）直接與作為安全元件的受保護(hù)飛地（enclave）通信。這讓我們得出了這篇論文中一些最令人興奮的結(jié)論：

從理論上講，即使設(shè)備處于關(guān)機(jī)狀態(tài)，也有可能從iPhone上竊取虛擬車(chē)鑰匙！顯然，如果iPhone是車(chē)鑰匙，丟失設(shè)備可能意味著丟失汽車(chē)。但是，在這種情況下，當(dāng)鑰匙被盜時(shí)，實(shí)際的手機(jī)仍然在您手中。想象下述場(chǎng)景：一個(gè)惡意行為者在商場(chǎng)接近你，用手機(jī)刷你的包，偷走你的虛擬鑰匙。

理論上可以修改藍(lán)牙模塊發(fā)送的數(shù)據(jù)，例如，為了使用智能手機(jī)監(jiān)視受害者——同樣地，即使在手機(jī)關(guān)機(jī)的狀態(tài)下。

從手機(jī)中竊取支付卡信息是另一種理論上的可能性。

但這當(dāng)然還有待證明。德國(guó)團(tuán)隊(duì)的研究再次表明，添加新功能會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn)，必須慎重考慮。尤其是當(dāng)現(xiàn)實(shí)與想象大相徑庭時(shí)：你認(rèn)為自己的手機(jī)完全關(guān)機(jī)了，而實(shí)際上并非如此。

請(qǐng)注意，這并不是一個(gè)全新的問(wèn)題。英特爾管理引擎和AMD安全技術(shù)也可以處理系統(tǒng)保護(hù)和安全遠(yuǎn)程管理，只要筆記本電腦或臺(tái)式電腦的主板連接到電源，它們就會(huì)處于活動(dòng)狀態(tài)。 與iPhone中的藍(lán)牙/UWB/NFC/安全元件捆綁包一樣，這些系統(tǒng)在計(jì)算機(jī)內(nèi)部擁有廣泛的權(quán)限，其中的漏洞可能非常危險(xiǎn)。

從好的方面來(lái)說(shuō)，該論文對(duì)普通用戶(hù)沒(méi)有直接影響，研究中獲得的數(shù)據(jù)不足以進(jìn)行實(shí)際攻擊。 但作為一個(gè)萬(wàn)無(wú)一失的解決方案，研究人員建議Apple應(yīng)該實(shí)施一個(gè)硬件開(kāi)關(guān)，完全切斷手機(jī)的電源。但鑒于Apple的“物理按鈕恐懼癥”，這一點(diǎn)應(yīng)該很難實(shí)現(xiàn)。

原文鏈接：https://usa.kaspersky.com/blog/hacking-powered-off-iphone/26579/