蘋果重大漏洞讓數(shù)千部iPhone變“終極監(jiān)控工具”——

而且居然過了四年才被發(fā)現(xiàn)？

最近，知名安全公司卡巴斯基曝光：

惡意者只需知道目標人士的電話號碼或AppleID名稱，即可向蘋果手機用戶發(fā)送一條不可見的iMessage信息。

接收者這邊，什么都不需要做，這條信息隱藏的病毒就能開始自動工作。

它能收集受害者手機上幾乎一切信息，包括地理位置、所有文件和數(shù)據(jù)、WhatsApp/iMessage/Telegram等程序內(nèi)容、從攝像頭和麥克風(fēng)獲取的信息甚至是附近其他蘋果設(shè)備的東西。

連數(shù)十位卡巴斯基員工的設(shè)備都沒有幸免于難（這家專攻安全的公司有多知名就不用咱多提了）。

消息一出，就引發(fā)大量網(wǎng)友圍觀：

連OpenAI科學(xué)家Andrej Karpathy都來了，再次完整地向大伙介紹了一遍事情經(jīng)過。

據(jù)介紹，這起攻擊2019年就發(fā)生了，但去年6月才首次被發(fā)現(xiàn)，而經(jīng)過足足12個月的調(diào)查，卡巴斯基的安全研究員才發(fā)現(xiàn)其中的技術(shù)原理，現(xiàn)在才將之公布于眾。

他們感嘆：

這絕對是我們見過的最復(fù)雜的攻擊鏈。攻擊者擁有非常先進的技術(shù)能力。

具體怎么回事兒？

“iPhone成終極監(jiān)控工具”

此次攻擊的名稱為“Triangulation”。

通過對整個攻擊鏈進行全面分析，作者發(fā)現(xiàn)它一共利用了5個漏洞：一個自90年代以來就存在的老漏洞、2個內(nèi)核漏洞、1個瀏覽器漏洞以及1個硬件漏洞。

其中有4個為零日漏洞——這意味著攻擊者早就知道了蘋果存在的“嚴重編程缺陷”。

盡管重啟手機就可以消除此感染，但只要向設(shè)備重新發(fā)送一條新的iMessage信息就可以了。

因此，作者表示：

Triangulation可以將使用者的iPhone手機變成終極監(jiān)控工具（新舊iPhone都支持）。

當(dāng)然，除了iPhone，Mac、iPod、iPad、Apple TV和Apple Watch也受影響。

Triangulation完整的攻擊鏈如下：

首先，它先利用蘋果TrueType字體實現(xiàn)中的漏洞繞過現(xiàn)代漏洞防御機制，執(zhí)行遠程代碼清除最初的障礙。

此漏洞代號為CVE-2023-41990，自九十年代初就已存在，后來被補丁刪除。

然后瞄準iOS內(nèi)核，依靠兩個漏洞繞過兩道保護層。

一個存在于防內(nèi)核破壞的XNU系統(tǒng)上，漏洞被追蹤為CVE-2023-42434。

另一個是硬件漏洞，存在于秘密（也就是并未被公開）的MMIO寄存器中，追蹤代號為CVE-2023-39606。

它本可以在內(nèi)核即使受到損壞時也能防止惡意代碼注入和修改。

接著，Triangulation又利用被追蹤為CVE-2023-32435的 Safari漏洞來執(zhí)行shellcode（一種二進制數(shù)據(jù)，可在內(nèi)存中直接執(zhí)行而不必轉(zhuǎn)換為可執(zhí)行程序）。

反過來，生成的shellcode再次利用iOS內(nèi)核的兩個漏洞，最終拿到安裝監(jiān)控軟件所需的root權(quán)限。

作者表示，Triangulation成功的關(guān)鍵其實是硬件漏洞CVE-2023-39606。

該硬件保護也存在于M1和M2芯片中，幾乎很少被攻破。

由于iOS生態(tài)系統(tǒng)的封閉性，這需要攻擊者對硬件和軟件架構(gòu)有全面的了解。

作者即卡巴斯基研究員進行了數(shù)月的大量逆向工程之后，才發(fā)現(xiàn)了其中的秘密。

然而攻擊者繞過這一內(nèi)核保護的多個MMIO地址根本識別不出來，再進一步搜索源代碼等信息，也沒有任何發(fā)現(xiàn)。

因此，究竟是誰發(fā)起了這把攻擊也并不清楚。

更厲害的點在于，這個硬件功能并未公開發(fā)布，攻擊者如何知道并利用它也讓人留下一個大大的問號。

作者猜測這很可能是蘋果工程師或工廠用于調(diào)試或測試目的，或不小心將它上線了。

它的被攻破，也讓人再次感嘆：

在更為聰明的攻擊者面前，再先進的（硬件）保護措施也可能變得無效。

目前，以上漏洞已被蘋果修復(fù)，在此之前，卡巴斯基也發(fā)布了檢測工具。

更多技術(shù)細節(jié)詳見：

[1]https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
[2]https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11859.html

參考鏈接：

[1]https://twitter.com/sweis/status/1740092722487361809
[2]https://twitter.com/karpathy
[3]https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/