自苹果2007年重新定义手机之后,其发布的每款新机都会遇到狂热追随者。有人倾心于其流畅的系统;有人折服于其漂亮的UI和外观;还有人则乐此不疲地拆机装机,研究其中的安全奥秘……
后者的代表人物之一,就是知名的 Google Project Zero 安全研究员—— Ian Beer。就在前两天,他公布了自己耗时六个月发现的iPhone重大漏洞。利用这个漏洞,可以在 Wi-Fi 范围内无接触控制手机,获取用户隐私数据。简单来说就是,你的 iPhone 放桌上躺着,没有任何人碰它,只要在攻击范围之内,你的邮件、信息、照片等就可能被攻击者获取;你手机的麦克风和摄像头还有可能成为监听、监视你的工具。
AWDL Broadcast 拒绝服务(DoS)攻击演示
攻击主要利用的是内核内存损坏漏洞,源于iPhone、iPad、Mac、Apple Watch、Apple TV、HomePods所使用的无线直连协议——Apple Wireless Direct Link (AWDL) 协议。正是依赖AWDL协议,苹果的隔空投送(AirDrop)、随航(Sidecar)等功能才得以快速稳定地发挥作用。这也意味着,所有的iOS设备都有可能受到影响。谁能想到都两年过去了,AirDrop没消停,反而拉着自己的小伙伴把事情搞得更大了~
从 Ian 花了六个月时间研究出成果就能看出,实现攻击并不容易。AWDL并非是自定义的无线电协议,而是基于 IEEE 802.11 (Wi-Fi) 标准的扩展,并结合了蓝牙低功耗技术(BLE)。由于AWDL由蓝牙激活,所以理论上来说,用户在使用蓝牙时,会激活周边Wi-Fi范围内Apple设备的AWDL接口,而此时攻击者就可以利用漏洞,控制设备。不过,并非所有人都会一直开启设备蓝牙功能。所以,要实现攻击,需要先想办法强制开启AWDL。
基于 AWDL 的特性,lan Beer 多次尝试之后,通过不断发送BLE广播强制激活 AWDL 接口,随后利用 AWDL 关联的Wi-Fi驱动程序存在的缓冲区溢出问题攻击设备,并以 root 用户身份植入、运行程序。程序启动后几秒内就可获得内核内存的读写权限,进而获取用户个人数据。
庆幸的是,Ian 说目前没发现现实中的攻击案例。而且在今年五月份,苹果更新 iOS 13.5 之前,这个漏洞已经被悄悄地修复了。
无用户交互,强制使用 BLE 广播激活 AWDL 接口。AWDL 漏洞利用程序在启动后几秒钟内即可获取内核内存读写权限。整个端到端漏洞利用过程大约只需1分钟。
整个过程中,AWDL 是最关键的一环。苹果未曾公布过AWDL的技术细节,因此很多安全研究员在研究蓝牙、Wi-Fi的安全性时,往往忽略了AWDL这个无线直连协议的漏洞或实现缺陷。而一经研究就能发现,AWDL从设计到实现,存在一些可能被用于攻击的缺陷,进而导致隐患。例如中间人攻击(MitM),能拦截、修改通过 AirDrop 传输的文件,导致设备被植入恶意文件;长期跟踪设备;发起 DoS 拒绝服务攻击,阻止通信等。总之,结果不是你的信息被偷走,就是你的设备崩溃……
完整攻击过程
早些年,苹果一直以其系统安全系数高而著称。而习惯“迎难而上”的安全研究员,则凭着扎实的技术、大开的脑洞和对细节的关注,发现了不同的漏洞,让普通用户离安全更近一步。GeekPwn 2017 的舞台上,也曾有选手利用漏洞远程获取root权限,控制了当年新上市的 iPhone 8。这背后,也是长达数年的积累和数月的研究。
看起来花费数月研究出一个漏洞,是很耗费成本的事情。而如今很多防范手段想要达到的效果也是延长攻击链、提高攻击成本,让攻击者知难而退。但这并不是我们掉以轻心的理由。就像Ian在博客中所说,面对尚未出现实际攻击案例的漏洞,可以有两种态度:
A:没人会花 6 个月去攻击我的手机,不用担心;
B:一个研究员在家捣鼓捣鼓,就能找到方法入攻击附近的手机,获取信息,平时还是要谨慎些啊~
不知你们会选A还是选B。反正我已经打开了手机设置,思考删除哪些软件才能为系统更新留出足够的空间……
看着自己的软件版本逐渐石化
也或许,你想选第三个选项,去研究这个攻击的技术细节。
原文档地址:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html
加入GeekPwn极友会
一起来,做到极棒!
一键三连,下个漏洞发现者就是你
