自蘋果2007年重新定義手機之後,其發布的每款新機都會遇到狂熱追隨者。有人傾心於其流暢的系統;有人折服於其漂亮的UI和外觀;還有人則樂此不疲地拆機裝機,研究其中的安全奧秘……
後者的代表人物之一,就是知名的 Google Project Zero 安全研究員—— Ian Beer。就在前兩天,他公布了自己耗時六個月發現的iPhone重大漏洞。利用這個漏洞,可以在 Wi-Fi 範圍內無接觸控制手機,獲取用戶隱私數據。簡單來說就是,你的 iPhone 放桌上躺著,沒有任何人碰它,只要在攻擊範圍之內,你的郵件、信息、照片等就可能被攻擊者獲取;你手機的麥克風和攝像頭還有可能成為監聽、監視你的工具。
AWDL Broadcast 拒絕服務(DoS)攻擊演示
攻擊主要利用的是內核內存損壞漏洞,源於iPhone、iPad、Mac、Apple Watch、Apple TV、HomePods所使用的無線直連協議——Apple Wireless Direct Link (AWDL) 協議。正是依賴AWDL協議,蘋果的隔空投送(AirDrop)、隨航(Sidecar)等功能才得以快速穩定地發揮作用。這也意味著,所有的iOS設備都有可能受到影響。誰能想到都兩年過去了,AirDrop沒消停,反而拉著自己的小夥伴把事情搞得更大了~
從 Ian 花了六個月時間研究出成果就能看出,實現攻擊並不容易。AWDL並非是自定義的無線電協議,而是基於 IEEE 802.11 (Wi-Fi) 標準的擴展,並結合了藍牙低功耗技術(BLE)。由於AWDL由藍牙激活,所以理論上來說,用戶在使用藍牙時,會激活周邊Wi-Fi範圍內Apple設備的AWDL介面,而此時攻擊者就可以利用漏洞,控制設備。不過,並非所有人都會一直開啟設備藍牙功能。所以,要實現攻擊,需要先想辦法強制開啟AWDL。
基於 AWDL 的特性,lan Beer 多次嘗試之後,通過不斷發送BLE廣播強制激活 AWDL 介面,隨後利用 AWDL 關聯的Wi-Fi驅動程序存在的緩衝區溢出問題攻擊設備,並以 root 用戶身份植入、運行程序。程序啟動後幾秒內就可獲得內核內存的讀寫許可權,進而獲取用戶個人數據。
慶幸的是,Ian 說目前沒發現現實中的攻擊案例。而且在今年五月份,蘋果更新 iOS 13.5 之前,這個漏洞已經被悄悄地修復了。
無用戶交互,強制使用 BLE 廣播激活 AWDL 介面。AWDL 漏洞利用程序在啟動後幾秒鐘內即可獲取內核內存讀寫許可權。整個端到端漏洞利用過程大約只需1分鐘。
整個過程中,AWDL 是最關鍵的一環。蘋果未曾公布過AWDL的技術細節,因此很多安全研究員在研究藍牙、Wi-Fi的安全性時,往往忽略了AWDL這個無線直連協議的漏洞或實現缺陷。而一經研究就能發現,AWDL從設計到實現,存在一些可能被用於攻擊的缺陷,進而導致隱患。例如中間人攻擊(MitM),能攔截、修改通過 AirDrop 傳輸的文件,導致設備被植入惡意文件;長期跟蹤設備;發起 DoS 拒絕服務攻擊,阻止通信等。總之,結果不是你的信息被偷走,就是你的設備崩潰……
完整攻擊過程
早些年,蘋果一直以其系統安全係數高而著稱。而習慣「迎難而上」的安全研究員,則憑著紮實的技術、大開的腦洞和對細節的關注,發現了不同的漏洞,讓普通用戶離安全更近一步。GeekPwn 2017 的舞台上,也曾有選手利用漏洞遠程獲取root許可權,控制了當年新上市的 iPhone 8。這背後,也是長達數年的積累和數月的研究。
看起來花費數月研究出一個漏洞,是很耗費成本的事情。而如今很多防範手段想要達到的效果也是延長攻擊鏈、提高攻擊成本,讓攻擊者知難而退。但這並不是我們掉以輕心的理由。就像Ian在博客中所說,面對尚未出現實際攻擊案例的漏洞,可以有兩種態度:
A:沒人會花 6 個月去攻擊我的手機,不用擔心;
B:一個研究員在家搗鼓搗鼓,就能找到方法入攻擊附近的手機,獲取信息,平時還是要謹慎些啊~
不知你們會選A還是選B。反正我已經打開了手機設置,思考刪除哪些軟體才能為系統更新留出足夠的空間……
看著自己的軟體版本逐漸石化
也或許,你想選第三個選項,去研究這個攻擊的技術細節。
原文檔地址:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html
加入GeekPwn極友會
一起來,做到極棒!
一鍵三連,下個漏洞發現者就是你
