前几天,一条关于#iPhone被曝存在安全隐患#的词条登顶了微博热搜,曝出iOS 14.6存在漏洞。如果感染了一款名叫Pegasus的恶意软件,就会被窃取隐私信息,甚至被控制摄像头和麦克风,引发了吃瓜群众的一片恐慌。
我手机内存里的那点秘密还能守得住吗?我睡觉打呼噜的事情不会被黑客曝光吧?我在家的魔性舞步不会被发现吧?!别急,让黑客老路来给你侃侃这个事儿。
我们先来捋捋这次漏洞剧本杀的“人物关系”:
角色1-iOS 14.6:受害者,已被苹果证实确实存在这个漏洞。
角色2-NSO Group:施暴者,以色列一家以间谍软件闻名的公司,被称为21世纪网络雇佣军。
角色3-Pegasus:施暴工具,由NSO Group开发,翻译过来是西方神话里的双翼飞马,也不知道是哪个程序员起的名字这么中二。
角色4-Hooking Candiru:以色列另一家专门向政府销售的间谍软件公司,也拥有这套攻击方案,开价1600万欧元,值得一提的是,NSO Group的早期投资者Isaac Zack也是这家公司的最大股东,其中关系耐人寻味。
角色5-Amnesty International:大赦国际,一个世界性民间人权组织,其实验室发现了这个漏洞和Pegasus恶意软件。
捋明白这层关系,我们用快问快答的方式,具体聊聊它的危害和背后见不得光的“生意”。
除了窃取个人隐私引发吃瓜群众恐慌外,这个漏洞本身也很厉害。这次发现的iOS 14.6漏洞属于zero-click类,如果把漏洞按照T0星级武器级/T1核弹级/T2武器级/T3演习级来划分,它相当于T1核弹级,而T0-T2都是危害较大且比较难得的漏洞。
这类漏洞有一个显著特点,就是可以在用户无感知的情况下实施攻击,即有些利用漏洞发起的攻击需要用户点击授权后才会得逞,但zero-click类不管你点不点击都能攻击。
举两个栗子:一个是2019年前后苹果曝出的FaceTime软件漏洞,就属于zero-click类,攻击者利用这个漏洞给你拨打电话,在你点击接听或者挂断之前,他就能听到你的声音,把这个融入到场景当中——假如你在开会,把手机静音了没听到打过来的电话,那攻击者在呼叫中就可以监听到你的会议内容;
另一个是前不久IOS 系统爆出的恶意SSID“%p%s%s%s%s%n.”漏洞,这种漏洞需要用户主动点击访问恶意SSID才能触发,相比于zero-click危害程度就小多了。
而本次曝光的zero-click漏洞,据大赦国际安全实验室负责人克劳迪奥·瓜涅里 (Claudio Guarnieri)所述,一旦手机感染了Pegasus恶意软件,NSO的客户就可以控制目标手机,使他们能够提取目标手机归属人的消息、电话、照片和电子邮件,秘密激活相机或麦克风,并阅读加密消息应用程序(例如 WhatsApp、Telegram 和Signal)的内容。虽然苹果在iOS 14中已经引入了防火墙系统BlastDoor来对抗“zero-click”漏洞,但显然没完全防住。
有,并且已经实践过了。大赦国际安全实验室报告显示,在已检测的67部手机样本当中,有37 部存在Pegasus的感染迹象,命中率高达55%。当然,样本不是在大众里随机抽的,而是主要来源于NSO泄露出来的一份目标名单,名单里包括数百名企业高管、宗教人士、学者、记者、人权活动家、律师、非政府组织雇员、工会官员和政府官员,甚至,包括一些内阁部长、总统和总理。
在这里面,不乏一些大家比较熟悉的人物,还记得那个在沙特驻土耳其使馆中,被谋刺的华盛顿邮报记者贾迈勒·卡舒吉(Jamal Khashoggi)吗?他的手机就是其中之一。而且,调查他S因的土耳其检察官也在名单当中(细思极恐)。而价值高不高,就得看钱飘不飘了。钱这方面,可以参考拥有相同攻击能力的另一家间谍软件供应商Hooking Candiru,他们对这套攻击方案的报价,是1600万欧元。
这套方案可以允许无限数量的间谍软件感染尝试,但只能同时监控10台设备,如果你再支付150万欧元,就可以额外监控15台设备并增加一个额外的国家/地区,再支付550万欧元,就可以额外加25台设备和5个国家/地区,不得不说,这生意算盘打的咔咔响,像是无良游戏商开发的充值系统,充到停不下来。
如果按初始价格1600万欧元监控10台设备来算,平均1台160万欧元,吃瓜群众恐慌之前,可以先算下自己的隐私是否值这个价钱(手动狗头保命)。除了价值因素外,NSO作为该恶意软件的开发公司,曾声称过其拥有行业领先的人权方法(我信了),只会将软件用于刑事和国家安全调查,这意味着普通组织和个人获取该恶意软件还是有一定难度的,而且出于隐蔽性考虑,也不太可能去大规模无差别攻击。所以吃瓜群众们可以不用过于担心自己的隐私会因此泄露。
严格来说,安卓系统上不排除存在与之类似的软件漏洞,可以达到相似的攻击效果。比如,2017年就曾爆发过8个蓝牙漏洞,可以让黑客无视蓝牙版本完全控制设备和数据。Armis Labs将这一组漏洞合称为“BlueBorne”。
当时,BlueBorne的杀伤范围几乎涵盖所有具备蓝牙功能的Android、Linux、Windows和iOS设备。所以仅仅根据已有的信息,来断定安卓系统是安全还是不安全,这些结论目前来看还为时尚早。
BlueBorne相应的8个蓝牙漏洞列表:
1. Linux内核RCE漏洞 – CVE-2017-1000251
2. Linux蓝牙堆栈(BlueZ)信息泄漏漏洞 – CVE-2017-1000250
3. Android信息漏洞漏洞 – CVE-2017-0785
4. AndroidRCE漏洞#1 – CVE-2017-0781
5. AndroidRCE漏洞#2 – CVE-2017-0782
6. AndroidBluetooth Pineapple逻辑缺陷-CVE-2017-0783
7. WindowsBluetooth Pineapple逻辑缺陷-CVE-2017-8628
8. Apple低功耗音频协议RCE漏洞 – CVE-2017-14315
目前对这个漏洞和恶意软件还没有公开的检测工具,也不太清楚苹果是否在最新的iOS14.7中进行了修复,根据苹果的回应来看,就是普通人可以——躺平。如果感觉自己像是被攻击的目标,可以考虑关闭iMessage阻断攻击,等待苹果更新。
攻击原理分析虽然这次漏洞和恶意软件都没有进行披露,但从技术角度来说,其基于iMessage软件的攻击面已不是第一次暴露出来了,早在2020年1月份,Google公司大名鼎鼎的projectzero团队便做过深入的分析,也早已将相关的研究成果放在了projectzero的官方博客中。
京东集团信息安全实验室的工程师为我们梳理了一下,技术大佬们可以参考研究——iMessage漏洞攻击允许仅拥有用户Apple ID(手机号码或电子邮件地址)的攻击者在几分钟内远程控制用户的 iOS 设备。之后,攻击者可以窃取文件、密码、2FA 代码、SMS 和其他消息、电子邮件以及其他用户和应用程序数据,还可以远程激活麦克风和摄像头。这一切无需向用户显示任何用户交互(例如打开攻击者发送的 URL)或视觉指示器(例如通知)。
projectzero曾利用单个漏洞(CVE-2019-8641) 首先绕过 ASLR,然后在沙箱外的目标设备上执行代码。在最终向用户显示通知并将消息写入消息数据库之前,传入的 iMessage 会通过多个服务和框架。在 iOS 12.4 上处理 iMessage 的主要服务无需用户交互,如上图所示,红色边框表示进程存在沙箱。为了通过 iMessage 传递漏洞利用,需要能够向目标发送自定义 iMessage。这需要与 Apple 的服务器进行交互并处理 iMessage 的端到端加密。
Projectzero团队使用一种简单方法是通过使用 frida 之类的工具连接到 imagent 内部的 iMessage 处理代码来重用现有代码。有了这个,从 macOS 上运行的脚本发送自定义 iMessage 可以通过以下方式完成:1. 构建所需的有效负载(例如调用 NSKeyedUnarchiver )并将其存储到磁盘;
2.调用一个小的脚本,指示Messages.app 向目标发送带有占位符内容(例如“REPLACEME”)的消息;
3.使用 frida 挂钩 imagent 并将包含占位符的传出 iMessage 的内容替换为有效负载文件的内容。
同样,也可以通过使用 frida 钩住imagent 中的接收器函数来接收传入的消息。例如,以下 iMessage(编码为二进制 plist)将在从 Messages.app 发送消息“REPLACEME”时发送给接收方:fridahook 将在消息被序列化、加密并发送到 Apple 的服务器之前修改消息:这将导致接收方设备上的 imagent 使用 NSKeyedUnarchiver API 解码 ati 字段中的数据(更多技术细节请参考示例代码https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage),最终触发漏洞,遭受攻击。
本文参考资料
【1】https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus?CMP=Share_iOSApp_Other
【2】https://www.amnesty.org/en/latest/news/2021/07/pegasus-project-apple-iphones-compromised-by-nso-spyware/
【3】https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
【4】https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-1.html
【5】https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage
*以上内容原创自京东集团信息安全实验室,转载请注明出处。