近日，卡巴斯基安全研究人員Boris Larin披露了iPhone歷史上最復雜的間諜軟件攻擊——三角測量（Triangulation）的技術細節。

自2019年以來，“三角定位行動”（Operation Triangulation）間諜軟件持續對iPhone設備進行攻擊。該軟件利用蘋果芯片中未記錄的特性繞過基于硬件的安全保護措施。

卡巴斯基分析師在2023年6月首次發現了上述攻擊活動。隨后，他們對這條復雜的攻擊鏈進行了逆向工程。他們發現了一些預留用于調試和出廠測試的隱蔽硬件特性，可以利用它們對iPhone用戶發動間諜軟件攻擊。

這不僅說明發動攻擊的威脅行為者水平相當高。同時，也證明依賴于隱蔽和保密的硬件設計或測試，并不能確保安全性。

三角測量操作

Operation Triangulation 是一個針對 Apple iPhone 設備的間諜軟件活動，同時利用了四個零日漏洞。這些漏洞鏈接在一起，形成零點擊攻擊，允許攻擊者提升權限并執行遠程代碼執行。

構成高度復雜的漏洞利用鏈的四個漏洞適用于iOS 16.2之前的所有iOS版本：

• CVE-2023-41990：ADJUST TrueType 字體指令中存在一個漏洞，允許通過惡意 iMessage 附件遠程執行代碼。
• CVE-2023-32434：XNU 內存映射系統調用中存在整數溢出問題，允許攻擊者對設備物理內存進行廣泛的讀/寫訪問。
• CVE-2023-32435：在 Safari 漏洞中用于執行 shellcode，作為多階段攻擊的一部分。
• CVE-2023-38606：使用硬件 MMIO 寄存器繞過頁面保護層 （PPL） 的漏洞，覆蓋基于硬件的安全保護。

除了影響iPhone之外，這些秘密硬件功能及其高危零日漏洞還存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基發現，這些漏洞并非“失誤”，而是有意開發用于這些設備。

三角定位行動攻擊鏈，來源：卡巴斯基

史上最復雜的iPhone間諜軟件

在上述漏洞中，CVE-2023-38606是最令卡巴斯基分析師感興趣的。

通過利用CVE-2023-38606漏洞，攻擊者可以繞過 Apple 芯片上的硬件保護，防止攻擊者在獲得對內核內存的讀寫訪問權限時獲得對設備的完全控制權。不過這個漏洞已經在今年7月24日發布的iOS/iPadOS 16.6 中得到了修補。

卡巴斯基研究人員稱，CVE-2023-38606 針對的是 Apple A12-A16 仿生處理器中未知的 MMIO（內存映射 I/O）寄存器，這些寄存器可能與芯片的 GPU 協處理器相關聯，這些協處理器未在 DeviceTree 中列出。

三角測量攻擊中針對的 MIMO 范圍，來源：卡巴斯基

相較于這些年卡巴斯基發現的其他攻擊軟件，研究人員認為這絕對是他們見過的最復雜的攻擊鏈。目前并不知道攻擊者是如何學會使用這種未知的硬件功能的，也不知道該軟件的最初目的是什么。同時也不清楚該軟件是由蘋果公司開發的，還是第三方組件。

卡巴斯基研究人員推測，這個未記錄的硬件特性之所以包含在最終供消費者使用的iPhone版本中，可能是出于錯誤，或者是為了方便蘋果工程師進行調試和測試。