近日，卡巴斯基安全研究人員鮑里斯·拉林（Boris Larin）披露了iPhone歷史上最復雜的間諜軟件攻擊——三角測量（Triangulation）的技術(shù)細節(jié)。該攻擊技術(shù)自2019年以來被用于監(jiān)聽iPhone用戶。

2023年6月俄羅斯政府首次曝光了大規(guī)模的iPhone后門活動，攻擊者利用三角測量攻擊感染了俄羅斯外交使團和數(shù)千名使館工作人員的iPhone。甚至卡巴斯基在自己的網(wǎng)絡(luò)中也發(fā)現(xiàn)了三角測量攻擊，多名卡巴斯基員工中招，這在網(wǎng)絡(luò)安全行業(yè)一度傳為笑談。俄羅斯情報部門(FSB)則指責蘋果公司向美國國家安全局提供針對俄羅斯政府和大使館人員的后門。

經(jīng)過一年多時間的逆向工程研究，卡巴斯基的研究人員發(fā)現(xiàn)，三角測量攻擊利用了蘋果芯片中從未公開的神秘功能（可能用于工廠測試和調(diào)試）中的零日漏洞來繞過硬件安全保護。這表明通過硬件設(shè)計或硬件測試的模糊性和保密性來實現(xiàn)安全性是一個錯誤的假設(shè)。

用了四個零日漏洞

三角測量行動（Triangulation）是一種針對蘋果iPhone設(shè)備的間諜軟件活動，利用了多達四個零日漏洞。這些漏洞組合在一起構(gòu)成一個零點擊漏洞，攻擊者可提升權(quán)限并執(zhí)行遠程代碼執(zhí)行?？ò退够硎?，在至少四年的時間里，感染是通過iMessage文本傳播的，這些文本通過復雜的漏洞利用鏈安裝間諜軟件，而無需受害者采取任何行動。

這個高度復雜的漏洞利用鏈并可攻擊iOS 16.2之前的所有iOS版本，涉及的四個零日漏洞分別是：

• CVE-2023-41990：ADJUST TrueType字體指令中存在漏洞，允許通過惡意iMessage附件遠程執(zhí)行代碼。
• CVE-2023-32434：XNU內(nèi)存映射系統(tǒng)調(diào)用中存在整數(shù)溢出問題，允許攻擊者對設(shè)備的物理內(nèi)存進行廣泛的讀/寫訪問。
• CVE-2023-32435：在Safari漏洞利用中用于執(zhí)行shellcode作為多階段攻擊的一部分。
• CVE-2023-38606：使用硬件MMIO寄存器繞過頁面保護層(PPL)的漏洞，從而覆蓋基于硬件的安全保護。

除了影響iPhone之外，這些秘密硬件功能及其高危零日漏洞還存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基發(fā)現(xiàn)，這些漏洞并非“失誤”，而是有意開發(fā)用于這些設(shè)備的。

三角測量行動的攻擊鏈

攻擊從向目標發(fā)送惡意iMessage消息開始，整個鏈條都是零點擊的，這意味著全程都無需用戶交互，用戶不會有任何察覺，也不會生成或留下任何明顯的痕跡。

Apple于2023年6月21日發(fā)布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7，修復了當時發(fā)現(xiàn)的兩個零日漏洞（CVE-2023-32434和CVE-2023-32435）。

史上最復雜的iPhone間諜軟件

在上述漏洞中，CVE-2023-38606是最令卡巴斯基分析師感興趣的，該漏洞直到2023年7月24日iOS/iPadOS16.6發(fā)布才得到解決。

攻擊者可利用該漏洞繞過Apple芯片上基于硬件的高級內(nèi)存保護，后者用于防止攻擊者在獲得對內(nèi)核內(nèi)存的讀寫訪問權(quán)限時取得對設(shè)備的完全控制（使用單獨的CVE-2023-32434漏洞實現(xiàn)）。

在深度技術(shù)文章中，卡巴斯基解釋說，CVE-2023-38606針對的是蘋果公司A12-A16 Bionic處理器中未知的MIMO（內(nèi)存映射I/O）寄存器，可能與該芯片的GPU協(xié)處理器相關(guān)聯(lián)，但未在設(shè)備樹中列出：

三角測量攻擊的MIMO范圍

三角測量攻擊使用這些未知寄存器地址來操縱硬件功能并在攻擊期間控制直接內(nèi)存訪問。

“簡單來說，攻擊者通過將數(shù)據(jù)寫入固件未使用的未知MIMO硬件寄存器地址來繞過基于硬件的內(nèi)存保護。”卡巴斯基的報告解釋道。

研究人員發(fā)現(xiàn)，攻擊者用來繞過內(nèi)存保護的幾個MIMO寄存器地址未出現(xiàn)在任何設(shè)備樹工程文檔中（包括為iPhone開發(fā)硬件或軟件的工程師的參考文檔）。即使研究人員進一步搜索源代碼、內(nèi)核映像和固件，仍然找不到任何提及這些MMIO地址的內(nèi)容。

卡巴斯基推測，在iPhone設(shè)備中加入這一隱秘的，未記錄的硬件功能要么是一個錯誤，要么是為了幫助蘋果工程師進行調(diào)試和測試而預留的。

最終，蘋果通過更新設(shè)備樹以限制物理地址映射修復了該漏洞。

然而，攻擊者最初如何能夠知道蘋果從未公開的硬件功能并找到利用機制仍是個未解之謎。