近日，卡巴斯基安全研究人員Boris Larin披露了iPhone歷史上最復(fù)雜的間諜軟件攻擊——三角測量（Triangulation）的技術(shù)細節(jié)。

自2019年以來，“三角定位行動”（Operation Triangulation）間諜軟件持續(xù)對iPhone設(shè)備進行攻擊。該軟件利用蘋果芯片中未記錄的特性繞過基于硬件的安全保護措施。

卡巴斯基分析師在2023年6月首次發(fā)現(xiàn)了上述攻擊活動。隨后，他們對這條復(fù)雜的攻擊鏈進行了逆向工程。他們發(fā)現(xiàn)了一些預(yù)留用于調(diào)試和出廠測試的隱蔽硬件特性，可以利用它們對iPhone用戶發(fā)動間諜軟件攻擊。

這不僅說明發(fā)動攻擊的威脅行為者水平相當高。同時，也證明依賴于隱蔽和保密的硬件設(shè)計或測試，并不能確保安全性。

三角測量操作

Operation Triangulation 是一個針對 Apple iPhone 設(shè)備的間諜軟件活動，同時利用了四個零日漏洞。這些漏洞鏈接在一起，形成零點擊攻擊，允許攻擊者提升權(quán)限并執(zhí)行遠程代碼執(zhí)行。

構(gòu)成高度復(fù)雜的漏洞利用鏈的四個漏洞適用于iOS 16.2之前的所有iOS版本：

• CVE-2023-41990：ADJUST TrueType 字體指令中存在一個漏洞，允許通過惡意 iMessage 附件遠程執(zhí)行代碼。
• CVE-2023-32434：XNU 內(nèi)存映射系統(tǒng)調(diào)用中存在整數(shù)溢出問題，允許攻擊者對設(shè)備物理內(nèi)存進行廣泛的讀/寫訪問。
• CVE-2023-32435：在 Safari 漏洞中用于執(zhí)行 shellcode，作為多階段攻擊的一部分。
• CVE-2023-38606：使用硬件 MMIO 寄存器繞過頁面保護層 （PPL） 的漏洞，覆蓋基于硬件的安全保護。

除了影響iPhone之外，這些秘密硬件功能及其高危零日漏洞還存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基發(fā)現(xiàn)，這些漏洞并非“失誤”，而是有意開發(fā)用于這些設(shè)備。

三角定位行動攻擊鏈，來源：卡巴斯基

史上最復(fù)雜的iPhone間諜軟件

在上述漏洞中，CVE-2023-38606是最令卡巴斯基分析師感興趣的。

通過利用CVE-2023-38606漏洞，攻擊者可以繞過 Apple 芯片上的硬件保護，防止攻擊者在獲得對內(nèi)核內(nèi)存的讀寫訪問權(quán)限時獲得對設(shè)備的完全控制權(quán)。不過這個漏洞已經(jīng)在今年7月24日發(fā)布的iOS/iPadOS 16.6 中得到了修補。

卡巴斯基研究人員稱，CVE-2023-38606 針對的是 Apple A12-A16 仿生處理器中未知的 MMIO（內(nèi)存映射 I/O）寄存器，這些寄存器可能與芯片的 GPU 協(xié)處理器相關(guān)聯(lián)，這些協(xié)處理器未在 DeviceTree 中列出。

三角測量攻擊中針對的 MIMO 范圍，來源：卡巴斯基

相較于這些年卡巴斯基發(fā)現(xiàn)的其他攻擊軟件，研究人員認為這絕對是他們見過的最復(fù)雜的攻擊鏈。目前并不知道攻擊者是如何學(xué)會使用這種未知的硬件功能的，也不知道該軟件的最初目的是什么。同時也不清楚該軟件是由蘋果公司開發(fā)的，還是第三方組件。

卡巴斯基研究人員推測，這個未記錄的硬件特性之所以包含在最終供消費者使用的iPhone版本中，可能是出于錯誤，或者是為了方便蘋果工程師進行調(diào)試和測試。