據(jù)The Hacker News消息，安全研究人員在對iOS Find My功能進行安全分析時，首次發(fā)現(xiàn)了一種全新的攻擊面，攻擊者可篡改固件并將惡意軟件加載到藍牙芯片上，使該芯片在 iPhone “關(guān)閉”時執(zhí)行。

這是一種全新的惡意軟件潛在的運行方式，其原理是利用了iOS在“電源儲備”低功耗模式 (LPM) 時關(guān)機，但藍牙、近場通信(NFC)和超寬帶(UWB)相關(guān)的無線芯片依舊繼續(xù)運行的機制。

達姆施塔特工業(yè)大學的Secure Mobile Networking實驗室 (SEEMOO) 的研究人員在一篇文章中寫到，蘋果這樣做是為了啟用Find My等功能并促進Express Card交易，但也讓三種無線芯片都可以直接訪問所有安全元件。

研究人員表示，藍牙和UWB芯片被數(shù)據(jù)線連接到NFC芯片中的安全元素(SE)上，存儲那些應該可以在LPM中使用的機密數(shù)據(jù)。

“由于LPM支持是在硬件中實現(xiàn)的，因此無法通過更改軟件組件來刪除它。現(xiàn)有的iPhone關(guān)機后無法關(guān)閉無線芯片，這構(gòu)成了一種新的威脅模型。”

具體的調(diào)查結(jié)果將會在本周舉辦的ACM無線和移動網(wǎng)絡安全隱私會議 (WiSec 2022) 上公布。

LPM 功能是蘋果在2021年iOS 15中新推出的，即使電池電量耗盡或已關(guān)閉，也可以使用“查找我的網(wǎng)絡”跟蹤丟失的設備。當前支持超寬帶的設備包括iPhone 11、iPhone 12和iPhone 13。

關(guān)閉iPhone 時顯示的消息如下：“iPhone 關(guān)機后仍可找到。Find My可幫助您在iPhone丟失或被盜時找到它，即使它處于省電模式或關(guān)機時也是如此。”

研究人員將當前的 LPM 實現(xiàn)稱為“不透明”，同時他們發(fā)現(xiàn)，在斷電期間初始化Find My廣告時有機會觀察到失敗，這與上述消息實際上相矛盾，他們還發(fā)現(xiàn)藍牙固件既沒有簽名，也沒有加密。

通過利用這個漏洞，具有特權(quán)訪問權(quán)限的攻擊者可以創(chuàng)建在iPhone藍牙芯片上執(zhí)行的惡意軟件，那么即使它關(guān)機了也可以執(zhí)行。但是，要發(fā)生這種固件泄露，攻擊者必須要通過操作系統(tǒng)、固件通信以及修改固件映像。

換句話說，這個想法是改變LPM應用程序線程以嵌入惡意軟件，例如那些可以提醒惡意行為者受害者的Find My Bluetooth 廣播，使攻擊者能夠遠程監(jiān)視目標。

SEEMOO 研究人員指出：“除了更改現(xiàn)有功能外，他們還可以添加全新的功能。”此前他們已經(jīng)向蘋果披露了所有問題，但這家科技巨頭“沒有反饋”。

由于 LPM 相關(guān)功能采用更隱蔽的方法來執(zhí)行其預期的案例，SEEMOO 呼吁 Apple增加一個基于硬件的開關(guān)來斷開電池，以減輕固件級攻擊可能引起的任何監(jiān)視問題。

SEEMOO研究人員進一步表示，由于LPM的功能是基于iPhone的硬件，所以無法通過系統(tǒng)更新將其刪除，它對整個 iOS 安全模型產(chǎn)生持久的影響。

參考來源：https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html