freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

苹果iOS漏洞登顶热搜背后:单价1600万欧元的隐私生意
2021-07-23 10:48:53
所属地 北京

前几天,一条关于#iPhone被曝存在安全隐患#的词条登顶了微博热搜,曝出iOS 14.6存在漏洞。如果感染了一款名叫Pegasus的恶意软件,就会被窃取隐私信息,甚至被控制摄像头和麦克风,引发了吃瓜群众的一片恐慌。

我手机内存里的那点秘密还能守得住吗?我睡觉打呼噜的事情不会被黑客曝光吧?我在家的魔性舞步不会被发现吧?!别急,让黑客老路来给你侃侃这个事儿。

我们先来捋捋这次漏洞剧本杀的“人物关系”:

角色1-iOS 14.6:受害者,已被苹果证实确实存在这个漏洞。

角色2-NSO Group:施暴者,以色列一家以间谍软件闻名的公司,被称为21世纪网络雇佣军。

角色3-Pegasus:施暴工具,由NSO Group开发,翻译过来是西方神话里的双翼飞马,也不知道是哪个程序员起的名字这么中二。

角色4-Hooking Candiru:以色列另一家专门向政府销售的间谍软件公司,也拥有这套攻击方案,开价1600万欧元,值得一提的是,NSO  Group的早期投资者Isaac Zack也是这家公司的最大股东,其中关系耐人寻味。

角色5-Amnesty International:一个世界性民间人权组织,其实验室发现了Pegasus恶意软件。

捋明白这层关系,我们用快问快答的方式,具体聊聊它的危害和背后见不得光的“生意”。

Question1漏洞千千万,为啥这个这么高关注?

除了窃取个人隐私引发吃瓜群众恐慌外,这个漏洞本身也很厉害。这次发现的iOS 14.6漏洞属于zero-click类,如果把漏洞按照T0星级武器级/T1核弹级/T2武器级/T3演习级来划分,它相当于T1核弹级,而T0-T2都是危害较大且比较难得的漏洞。

这类漏洞有一个显著特点,就是可以在用户无感知的情况下实施攻击,即有些利用漏洞发起的攻击需要用户点击授权后才会得逞,但zero-click类不管你点不点击都能攻击。

举两个栗子:一个是2019年前后苹果曝出的FaceTime软件漏洞,就属于zero-click类,攻击者利用这个漏洞给你拨打电话,在你点击接听或者挂断之前,他就能听到你的声音,把这个融入到场景当中——假如你在开会,把手机静音了没听到打过来的电话,那攻击者在呼叫中就可以监听到你的会议内容;

另一个是前不久IOS 系统爆出的恶意SSID“%p%s%s%s%s%n.”漏洞,这种漏洞需要用户主动点击访问恶意SSID才能触发,相比于zero-click危害程度就小多了。

而本次曝光的zero-click漏洞,据Amnesty International安全实验室负责人克劳迪奥·瓜涅里 (Claudio Guarnieri)所述,一旦手机感染了Pegasus恶意软件,NSO的客户就可以控制目标手机,使他们能够提取目标手机归属人的消息、电话、照片和电子邮件,秘密激活相机或麦克风,并阅读加密消息应用程序(例如 WhatsApp、Telegram 和Signal)的内容。虽然苹果在iOS 14中已经引入了防火墙系统BlastDoor来对抗“zero-click”漏洞,但显然没完全防住。

Question2说得挺玄乎,有那么高利用价值吗?

有,并且已经实践过了。Amnesty International安全实验室报告显示,在已检测的67部手机样本当中,有37 部存在Pegasus的感染迹象,命中率高达55%。当然,样本不是在大众里随机抽的,而是主要来源于NSO泄露出来的一份目标名单,名单里包括数百名企业高管、宗教人士、学者、记者、人权活动家、律师、非政府组织雇员、工会官员和政府官员,甚至,包括一些内阁部长、总统和总理。

在这里面,不乏一些大家比较熟悉的人物,还记得那个在沙特驻土耳其使馆中,被谋刺的某邮报记者贾迈勒·卡舒吉(Jamal Khashoggi)吗?他的手机就是其中之一。而且,调查他S因的土耳其检察官也在名单当中(细思极恐)。而价值高不高,就得看钱飘不飘了。钱这方面,可以参考拥有相同攻击能力的另一家间谍软件供应商Hooking Candiru,他们对这套攻击方案的报价,是1600万欧元。

这套方案可以允许无限数量的间谍软件感染尝试,但只能同时监控10台设备,如果你再支付150万欧元,就可以额外监控15台设备并增加一个额外的国家/地区,再支付550万欧元,就可以额外加25台设备和5个国家/地区,不得不说,这生意算盘打的咔咔响,像是无良游戏商开发的充值系统,充到停不下来。

Question3那我是不是也有可能被攻击?

如果按初始价格1600万欧元监控10台设备来算,平均1台160万欧元,吃瓜群众恐慌之前,可以先算下自己的隐私是否值这个价钱。


除了价值因素外,NSO作为该恶意软件的开发公司,曾声称过其拥有行业领先的人权方法(我信了),只会将软件用于刑事和国家安全调查,这意味着普通组织和个人获取该恶意软件还是有一定难度的,而且出于隐蔽性考虑,也不太可能去大规模无差别攻击。所以吃瓜群众们可以不用过于担心自己的隐私会因此泄露。

Question4安卓有被攻击的风险吗?

严格来说,安卓系统上不排除存在与之类似的软件漏洞,可以达到相似的攻击效果。比如,2017年就曾爆发过8个蓝牙漏洞,可以让黑客无视蓝牙版本完全控制设备和数据。Armis Labs将这一组漏洞合称为“BlueBorne”。

当时,BlueBorne的杀伤范围几乎涵盖所有具备蓝牙功能的Android、Linux、Windows和iOS设备。所以仅仅根据已有的信息,来断定安卓系统是安全还是不安全,这些结论目前来看还为时尚早。

BlueBorne相应的8个蓝牙漏洞列表:

1.     Linux内核RCE漏洞 – CVE-2017-1000251

2.     Linux蓝牙堆栈(BlueZ)信息泄漏漏洞 – CVE-2017-1000250

3.     Android信息漏洞漏洞 – CVE-2017-0785

4.     AndroidRCE漏洞#1 – CVE-2017-0781

5.     AndroidRCE漏洞#2 – CVE-2017-0782

6.     AndroidBluetooth Pineapple逻辑缺陷-CVE-2017-0783

7.     WindowsBluetooth Pineapple逻辑缺陷-CVE-2017-8628

8.     Apple低功耗音频协议RCE漏洞 – CVE-2017-14315

Question5虽然但是,应该怎么进行防范呢?

目前对这个漏洞和恶意软件还没有公开的检测工具,也不太清楚苹果是否在最新的iOS14.7中进行了修复,根据苹果的回应来看,就是普通人可以——躺平。如果感觉自己像是被攻击的目标,可以考虑关闭iMessage阻断攻击,等待苹果更新。

写在最后

攻击原理分析虽然这次漏洞和恶意软件都没有进行披露,但从技术角度来说,其基于iMessage软件的攻击面已不是第一次暴露出来了,早在2020年1月份,Google公司大名鼎鼎的projectzero团队便做过深入的分析,也早已将相关的研究成果放在了projectzero的官方博客中。

京东集团信息安全实验室的工程师为我们梳理了一下,技术大佬们可以参考研究——iMessage漏洞攻击允许仅拥有用户Apple ID(手机号码或电子邮件地址)的攻击者在几分钟内远程控制用户的 iOS 设备。之后,攻击者可以窃取文件、密码、2FA 代码、SMS 和其他消息、电子邮件以及其他用户和应用程序数据,还可以远程激活麦克风和摄像头。这一切无需向用户显示任何用户交互(例如打开攻击者发送的 URL)或视觉指示器(例如通知)。

projectzero曾利用单个漏洞(CVE-2019-8641) 首先绕过 ASLR,然后在沙箱外的目标设备上执行代码。

在最终向用户显示通知并将消息写入消息数据库之前,传入的 iMessage 会通过多个服务和框架。在 iOS 12.4 上处理 iMessage 的主要服务无需用户交互,如上图所示,红色边框表示进程存在沙箱。为了通过 iMessage 传递漏洞利用,需要能够向目标发送自定义 iMessage。这需要与 Apple 的服务器进行交互并处理 iMessage 的端到端加密。

Projectzero团队使用一种简单方法是通过使用 frida 之类的工具连接到 imagent 内部的 iMessage 处理代码来重用现有代码。有了这个,从 macOS 上运行的脚本发送自定义 iMessage 可以通过以下方式完成:1. 构建所需的有效负载(例如调用 NSKeyedUnarchiver )并将其存储到磁盘;

2.调用一个小的脚本,指示Messages.app 向目标发送带有占位符内容(例如“replaceme”)的消息;

3.使用 frida 挂钩 imagent 并将包含占位符的传出 iMessage 的内容替换为有效负载文件的内容。

同样,也可以通过使用 frida 钩住imagent 中的接收器函数来接收传入的消息。例如,以下 iMessage(编码为二进制 plist)将在从 Messages.app 发送消息“replaceme”时发送给接收方:

fridahook 将在消息被序列化、加密并发送到 Apple 的服务器之前修改消息:

这将导致接收方设备上的 imagent 使用 NSKeyedUnarchiver API 解码 ati 字段中的数据(更多技术细节请参考示例代码https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage),最终触发漏洞,遭受攻击。

本文参考资料

【1】https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus?CMP=Share_iOSApp_Other

【2】https://www.amnesty.org/en/latest/news/2021/07/pegasus-project-apple-iphones-compromised-by-nso-spyware/

【3】https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

【4】https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-1.html

【5】https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage

*以上内容原创自京东集团信息安全实验室,转载请注明出处。

# ios漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录