近日,卡巴斯基安全研究员鲍里斯·拉林(Boris Larin)透露了iPhone历史上最复杂的间谍软件攻击“三角测量”的技术细节。 自 2019 年以来,这种攻击技术一直用于监视 iPhone 用户。
2023 年 6 月,俄罗斯**首先**开展了大规模的 iPhone 后门攻击,攻击者使用三角测量攻击感染了俄罗斯外交使团和数千名使馆工作人员的 iPhone。 甚至卡巴斯基也在自己的网络中发现了三角测量攻击,并招募了几名卡巴斯基员工,这曾经是网络安全行业的笑话。 俄罗斯情报部门(FSB)指责苹果公司向美国机构提供针对俄罗斯人和大使馆人员的后门。
经过一年多的逆向工程研究,卡巴斯基研究人员发现,三角测量攻击利用了苹果芯片中一个从未公开的神秘功能中的零日漏洞(可能用于工厂测试和调试),以绕过硬件安全保护。 这表明,通过硬件设计或硬件测试的模糊性和机密性来实现安全性是错误的假设。
使用了四个零日漏洞
Triangulation 是一种针对 Apple iPhone 设备的间谍软件活动,可利用多达四个零日漏洞。 这些漏洞共同构成了一个零点击漏洞,可能允许攻击者提升权限并执行远程**执行。 卡巴斯基表示,至少四年来,感染是通过iMessage文本传播的,iMessage文本通过复杂的漏洞利用链安装间谍软件,而不需要受害者采取任何行动。
这个高度复杂的漏洞利用链可以利用 iOS 16对于 2 之前的所有 iOS 版本,涉及的四个零日漏洞是:
CVE-2023-41990:Adjust 的 TrueType 字体指令中存在一个漏洞,允许通过恶意 iMessage 附件**进行远程执行。
CVE-2023-32434:XNU 内存映射系统调用中存在整数溢出问题,允许攻击者对设备的物理内存进行广泛的读写访问。
CVE-2023-32435:在 Safari 漏洞中用于执行 shellcode,作为多阶段攻击的一部分。
CVE-2023-38606:使用硬件 MMIO 寄存器绕过页面保护层 (PPL) 以覆盖基于硬件的安全保护的漏洞。
除了影响 iPhone 之外,这些秘密硬件功能及其高风险零日漏洞还存在于 Mac、iPod、iPad、Apple TV 和 Apple Watch 中。 更重要的是,卡巴斯基发现这些漏洞不是“错误”,而是故意为在这些设备上使用而开发的。
对操作的攻击链进行三角测量 **卡巴斯基。
攻击从向目标发送恶意iMessage消息开始,整个链条是零点击的,这意味着在任何时候都没有用户交互,用户不会意识到,也不会产生或留下任何可见的痕迹。
Apple 于 2023 年 6 月 21 日发布了 iOS iPadOS 165.1 和 iOS iPadOS 157.7. 修复当时发现的两个零日漏洞(CVE-2023-32434 和 CVE-2023-32435)。
有史以来最复杂的iPhone间谍软件
在上述漏洞中,CVE-2023-38606 是卡巴斯基分析师最感兴趣的漏洞,而这个漏洞是卡巴斯基分析师最感兴趣的,直到 2023 年 7 月 24 日 iOS iPadOS 166 个版本才解决。
攻击者可利用此漏洞绕过 Apple 芯片上基于硬件的高级内存保护,从而防止攻击者在获得对内核内存的读写访问权限时获得对设备的完全控制权(使用单独的 CVE-2023-32434 漏洞实现)。
在这篇深入的技术文章中,卡巴斯基解释说,CVE-2023-38606 针对的是 Apple A12-A16 仿生处理器中的未知 MIMO(内存映射 IO)寄存器,该寄存器可能与芯片的 GPU 协处理器相关联,但未在设备树中列出:
攻击的MIMO范围的三角测量**卡巴斯基。
三角测量攻击使用这些未知寄存器地址来操纵硬件功能,并在攻击期间控制直接内存访问。
“简单来说,攻击者通过将数据写入固件未使用的未知MIMO硬件寄存器地址来绕过基于硬件的内存保护。 ”卡巴斯基的报告解释道。
研究人员发现,攻击者用来绕过内存保护的几个MIMO寄存器地址没有出现在任何设备树工程文档(包括为iPhone开发硬件或软件的工程师的参考文档)中。 即使研究人员进一步搜索了源代码**、内核映像和固件,他们仍然找不到任何提及这些 MMIO 地址的内容。
卡巴斯基推测,在iPhone设备中包含这种隐藏的、未记录的硬件功能要么是一个错误,要么是为了帮助苹果工程师进行调试和测试而保留的。
最终,Apple 通过更新设备树来限制物理地址映射来修复该漏洞。
然而,攻击者如何能够了解苹果从未公开过的硬件功能,并首先找到一种利用它们的机制仍然是一个谜。
参考链接: