蘋果重大漏洞讓數千部iPhone變“終極監控工具”——

而且居然過了四年才被發現？

最近，知名安全公司卡巴斯基曝光：

惡意者只需知道目標人士的電話號碼或AppleID名稱，即可向蘋果手機用戶發送一條不可見的iMessage信息。

接收者這邊，什么都不需要做，這條信息隱藏的病毒就能開始自動工作。

它能收集受害者手機上幾乎一切信息，包括地理位置、所有文件和數據、WhatsApp/iMessage/Telegram等程序內容、從攝像頭和麥克風獲取的信息甚至是附近其他蘋果設備的東西。

連數十位卡巴斯基員工的設備都沒有幸免于難（這家專攻安全的公司有多知名就不用咱多提了）。

消息一出，就引發大量網友圍觀：

連OpenAI科學家Andrej Karpathy都來了，再次完整地向大伙介紹了一遍事情經過。

據介紹，這起攻擊2019年就發生了，但去年6月才首次被發現，而經過足足12個月的調查，卡巴斯基的安全研究員才發現其中的技術原理，現在才將之公布于眾。

他們感嘆：

這絕對是我們見過的最復雜的攻擊鏈。攻擊者擁有非常先進的技術能力。

具體怎么回事兒？

“iPhone成終極監控工具”

此次攻擊的名稱為“Triangulation”。

通過對整個攻擊鏈進行全面分析，作者發現它一共利用了5個漏洞：一個自90年代以來就存在的老漏洞、2個內核漏洞、1個瀏覽器漏洞以及1個硬件漏洞。

其中有4個為零日漏洞——這意味著攻擊者早就知道了蘋果存在的“嚴重編程缺陷”。

盡管重啟手機就可以消除此感染，但只要向設備重新發送一條新的iMessage信息就可以了。

因此，作者表示：

Triangulation可以將使用者的iPhone手機變成終極監控工具（新舊iPhone都支持）。

當然，除了iPhone，Mac、iPod、iPad、Apple TV和Apple Watch也受影響。

Triangulation完整的攻擊鏈如下：

首先，它先利用蘋果TrueType字體實現中的漏洞繞過現代漏洞防御機制，執行遠程代碼清除最初的障礙。

此漏洞代號為CVE-2023-41990，自九十年代初就已存在，后來被補丁刪除。

然后瞄準iOS內核，依靠兩個漏洞繞過兩道保護層。

一個存在于防內核破壞的XNU系統上，漏洞被追蹤為CVE-2023-42434。

另一個是硬件漏洞，存在于秘密（也就是并未被公開）的MMIO寄存器中，追蹤代號為CVE-2023-39606。

它本可以在內核即使受到損壞時也能防止惡意代碼注入和修改。

接著，Triangulation又利用被追蹤為CVE-2023-32435的 Safari漏洞來執行shellcode（一種二進制數據，可在內存中直接執行而不必轉換為可執行程序）。

反過來，生成的shellcode再次利用iOS內核的兩個漏洞，最終拿到安裝監控軟件所需的root權限。

作者表示，Triangulation成功的關鍵其實是硬件漏洞CVE-2023-39606。

該硬件保護也存在于M1和M2芯片中，幾乎很少被攻破。

由于iOS生態系統的封閉性，這需要攻擊者對硬件和軟件架構有全面的了解。

作者即卡巴斯基研究員進行了數月的大量逆向工程之后，才發現了其中的秘密。

然而攻擊者繞過這一內核保護的多個MMIO地址根本識別不出來，再進一步搜索源代碼等信息，也沒有任何發現。

因此，究竟是誰發起了這把攻擊也并不清楚。

更厲害的點在于，這個硬件功能并未公開發布，攻擊者如何知道并利用它也讓人留下一個大大的問號。

作者猜測這很可能是蘋果工程師或工廠用于調試或測試目的，或不小心將它上線了。

它的被攻破，也讓人再次感嘆：

在更為聰明的攻擊者面前，再先進的（硬件）保護措施也可能變得無效。

目前，以上漏洞已被蘋果修復，在此之前，卡巴斯基也發布了檢測工具。

更多技術細節詳見：

[1]https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/
[2]https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11859.html

參考鏈接：

[1]https://twitter.com/sweis/status/1740092722487361809
[2]https://twitter.com/karpathy
[3]https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/