Bleeping Computer 網(wǎng)站消息，美國佐治亞理工學(xué)院的研究人員公布了一種針對蘋果 M 系列和 A 系列芯片進(jìn)行側(cè)信道攻擊的方法，并將其命名為 iLeakage，利用該攻擊方法可以從 Safari 網(wǎng)頁瀏覽器中提取敏感信息。

iLeakage 首次展示了針對蘋果 Silicon CPU 和 Safari 瀏覽器的預(yù)測執(zhí)行攻擊，可以 "近乎完美準(zhǔn)確 "地從 Safari 以及 iOS 上的 Firefox、Tor 和 Edge 中獲取敏感數(shù)據(jù)。從本質(zhì)上講，iLeakage 是一種無時間的Spectre 攻擊，繞過了所有瀏覽器供應(yīng)商實(shí)施的標(biāo)準(zhǔn)側(cè)信道保護(hù)。

運(yùn)用 iLeakage 從 Safari 竊取秘密

iLeakage 由來自佐治亞理工學(xué)院、密歇根大學(xué)和波鴻魯爾大學(xué)的一個學(xué)術(shù)團(tuán)隊(duì)開發(fā)，他們在研究分析了Safari 的側(cè)信道彈性，并通過實(shí)施一種基于競賽條件的無定時器和架構(gòu)無關(guān)的方法，成功繞過了現(xiàn)有的反制措施。

基于競賽條件的模型（ileakage.com）

研究人員專注于從 Safari 中讀取敏感信息，并通過創(chuàng)建一個“基元”來竊取數(shù)據(jù)，該基元可以推測性地讀取和泄漏蘋果瀏覽器在渲染過程中使用的地址空間中任何 64 位指針。以此，研究人員“擊敗”了蘋果公司在瀏覽器中實(shí)施的側(cè)信道保護(hù)措施，例如低分辨率計時器、壓縮 35 位尋址等。

不僅如此，研究人員繞過了 Safari 中的網(wǎng)站隔離策略，該策略根據(jù)網(wǎng)站的有效頂級域（eTLD）和一個子域?qū)⒕W(wǎng)站分成不同的地址空間，通過利用推測類型混亂繞過蘋果公司的壓縮 35 位尋址和值中毒對策，并且可以泄露目標(biāo)頁面中類似密碼和電子郵件等的敏感數(shù)據(jù)。

這種攻擊方法的概念驗(yàn)證代碼使用的是 JavaScript 和 WebAssembly 這兩種用于提供動態(tài)網(wǎng)頁內(nèi)容的編程語言。

視頻中展示了如何使用 iLeakage 攻擊在運(yùn)行 iPad 的 Safari 中檢索 Gmail 郵件（注：攻擊成功的基本條件是受害用戶與攻擊者的頁面之間會進(jìn)行交互）。研究人員使用同樣的方法檢索了一個 Instagram 測試賬戶的密碼，該賬戶使用 LastPass 密碼管理服務(wù)在 Safari 網(wǎng)絡(luò)瀏覽器中自動填寫的（演示視頻）。

在另一項(xiàng)實(shí)驗(yàn)中，研究人員也演示了 iLeakage 攻擊如何在 iOS 版 Chrome 瀏覽器上運(yùn)行，并能夠檢索 YouTube 觀看歷史記錄。對此，研究人員表示蘋果的政策強(qiáng)制所有第三方iOS瀏覽器覆蓋在Safari之上，并使用蘋果瀏覽器的JavaScript引擎。（演示視頻）

iLeakage 依靠于對蘋果 Silicon 芯片（M1、M2）中推測性執(zhí)行的利用，在這種情況下，CPU 的預(yù)測性執(zhí)行會執(zhí)行最有可能需要的任務(wù)。這種機(jī)制存在于所有現(xiàn)代 CPU 中，極大地提高了性能。然而，正如近六年前披露的 Meltdown 和 Spectre 攻擊所呈現(xiàn)的結(jié)果，設(shè)計缺陷可能會導(dǎo)致數(shù)據(jù)泄露。

iLeakage 性能測試 (ileakage.com)

iLeakage 影響范圍廣泛

據(jù)悉，iLeakage 會影響許多采用蘋果 A 系列和 M 系列 ARM 處理器的蘋果設(shè)備。更恐怖的是，除了可能在瀏覽器緩存中“遺留”攻擊者的網(wǎng)頁外，受害者系統(tǒng)上沒有留下任何以日志形式的痕跡，導(dǎo)致這種攻擊很大程度上無法檢測到。

盡管如此，研究人員還是強(qiáng)調(diào)不必過度擔(dān)心，iLeakage 攻擊很難實(shí)施，需要網(wǎng)絡(luò)攻擊者對基于瀏覽器的側(cè)通道攻擊和 Safari 的實(shí)現(xiàn)有深入的了解。

2022 年 9 月 12 日，研究人員將 iLeakage 報告給了蘋果公司，該公司為 macOS 開發(fā)了以下緩解措施：

• 打開終端并運(yùn)行“defaults-write.com.apple.Safari IncludeInternalDebugMenu 1”以啟用 Safari 的隱藏調(diào)試菜單;
• 打開 Safari，進(jìn)入新的可見調(diào)試菜單;
• 選擇 "WebKit 內(nèi)部功能;
• 滾動并激活 "跨站窗口打開時交換進(jìn)程"。

Safari 的調(diào)試設(shè)置菜單（ileakage.com）

蘋果警示用戶緩解措施可能會帶來一些不穩(wěn)定，如果用戶想禁用，可以通過在終端中運(yùn)行命令默認(rèn)值write.com.apple.Safari IncludeInternalDebugMenu 0，從調(diào)試菜單中執(zhí)行。

值得一提的是，除了 iLeakage 的實(shí)際影響外，本研究還強(qiáng)調(diào)了基于 ARM 的新興平臺的預(yù)測執(zhí)行風(fēng)險，這些平臺并沒有像 x86 架構(gòu)那樣受到嚴(yán)格審查。

文章來源：https://www.bleepingcomputer.com/news/security/new-ileakage-attack-steals-emails-passwords-from-apple-safari/