WiFiDemon – iOS WiFi RCE 0-Day漏洞利用
2021-07-23 11:00:00 Author: www.4hou.com(查看原文) 阅读量:95 收藏

近日,ZecOps安全研究人员发现了iOS WiFi命名漏洞的零交互攻击利用方式,可以用来远程劫持iPhone设备。

Wi-Fi-Demon

Wifid 是处理与WiFi连接相关的协议的系统daemon。Wifid是以root 权限运行的。大多数处理函数都在CoreWiFi 框架中定义,而且这些服务无法在沙箱中访问。

6月,研究人员Carl Schou发现wifid在处理SSID 时存在格式字符串问题。攻击者利用该wifid漏洞可以引发DoS攻击,禁用iPhone的WiFi功能和热点功能。引发DoS 攻击的原因是wifid 会将已知的WiFi SSID写入硬盘中的以下文件:

/var/preferences/com.apple.wifi.known-networks.plist

/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup

/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist

Wifid每次启动后,就会从文件中读取SSID并引发奔溃。及时重启也无法解决该问题。

WiFiDemon 技术分析:零点击远程漏洞利用

研究人员进一步分析发现:

攻击者无法强迫用户连接。该漏洞可以以零点击的非交互形式启动。受害者只需要将WiFi开启就会触发有漏洞的代码。

研究人员在测试格式字符串bug时,注意到WiFid在无法连接到WiFi时会生成日志。这些日志中包含SSID,表明其中可能受到相同的格式字符串bug影响。该日志与智能设备的一个常见行为有关:自动扫描和加入已知的网络。

当用户使用手机时,iPhone每3秒会扫描WiFi网络。此外,如果用户的手机屏幕关闭了,仍然会扫描WiFi网络,但是扫描频率会变低一点,扫描的时间从10秒到1分钟左右。

如果用户连接到已有的WiFi 网络,攻击者可以启动其他攻击来断开设备的WiFi连接,然后启动0点击攻击。

零点击攻击:如果恶意AP有密码保护,且用户从未加入WiFi网络,硬盘中不会保存任何内容。在关闭恶意AP后,用户的WiFi功能就会正常。用户不会注意到是否受到攻击。

更多关于漏洞利用的细节参见:https://blog.zecops.com/research/meet-wifidemon-ios-wifi-rce-0-day-vulnerability-and-a-zero-click-vulnerability-that-was-silently-patched/ 

本文翻译自:https://blog.zecops.com/research/meet-wifidemon-ios-wifi-rce-0-day-vulnerability-and-a-zero-click-vulnerability-that-was-silently-patched/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/vRVV
如有侵权请联系:admin#unsafe.sh