iPhone安全漏洞攻击原理分析,危害背后究竟怎样？

iPhone安全漏洞问题，最近在网上疯传，那么问题来了，你的iPhone有遇到该问题吗？iPhone如果感染NSO Group的Pegasus恶意软件，不需要手机用户点击链接，攻击者就能窃取信息和邮件，甚至可以控制手机麦克风摄像头，该恶意软件可以入侵运行iOS 14.6系统的iPhone 12。

————————————————————————————————————

角色1-iOS 14.6：受害者，已被苹果证实确实存在这个漏洞。

角色2-NSO Group：施暴者，以色列一家以间谍软件闻名的公司，被称为21世纪网络雇佣军。

角色3-Pegasus：施暴工具，由NSOGroup开发，翻译过来是西方神话里的双翼飞马，也不知道是哪个程序员起的名字这么中二。

角色4-Hooking Candiru：以色列另一家专门向政府销售的间谍软件公司，也拥有这套攻击方案，开价1600万欧元，值得一提的是，NSO Group的早期投资者Isaac Zack也是这家公司的最大股东，其中关系耐人寻味。

角色5-Amnesty International：大赦国际，一个世界性民间人权组织，其实验室发现了这个漏洞和Pegasus恶意软件。

捋明白这层关系，我们用快问快答的方式，具体聊聊它的危害和背后见不得光的“生意”。

Question1：漏洞千千万，为啥这个这么高关注？

除了窃取个人隐私引发吃瓜群众恐慌外，这个漏洞本身也很厉害。

这次发现的iOS 14.6漏洞属于zero-click类，如果把漏洞按照T0星级武器级/T1核弹级/T2武器级/T3演习级来划分，它相当于T1核弹级，而T0-T2都是危害较大且比较难得的漏洞。这类漏洞有一个显著特点，就是可以在用户无感知的情况下实施攻击，即有些利用漏洞发起的攻击需要用户点击授权后才会得逞，但zero-click类不管你点不点击都能攻击。

举两个栗子：一个是2019年前后苹果曝出的FaceTime软件漏洞，就属于zero-click类，攻击者利用这个漏洞给你拨打电话，在你点击接听或者挂断之前，他就能听到你的声音，把这个融入到场景当中——假如你在开会，把手机静音了没听到打过来的电话，那攻击者在呼叫中就可以监听到你的会议内容；另一个是前不久IOS 系统爆出的恶意SSID“%p%s%s%s%s%n.”漏洞，这种漏洞需要用户主动点击访问恶意SSID才能触发，相比于zero-click危害程度就小多了。

而本次曝光的zero-click漏洞，据大赦国际安全实验室负责人克劳迪奥·瓜涅里 (Claudio Guarnieri)所述，一旦手机感染了Pegasus恶意软件，NSO的客户就可以控制目标手机，使他们能够提取目标手机归属人的消息、电话、照片和电子邮件，秘密激活相机或麦克风，并阅读加密消息应用程序（例如 WhatsApp、Telegram 和Signal）的内容。

虽然苹果在iOS 14中已经引入了防火墙系统BlastDoor来对抗“zero-click”漏洞，但显然没完全防住。

Question2：说得挺玄乎，有那么高利用价值吗？

有，并且已经实践过了。

大赦国际安全实验室报告显示，在已检测的67部手机样本当中，有37 部存在Pegasus的感染迹象，命中率高达55%，当然，样本不是在大众里随机抽的，而是主要来源于NSO泄露出来的一份目标名单，名单里包括数百名企业高管、宗教人士、学者、记者、人权活动家、律师、非政府组织雇员、工会官员和政府官员，甚至，包括一些内阁部长、总统和总理。

在这里面，不乏一些大家比较熟悉的人物，还记得那个在沙特驻土耳其使馆中，被谋刺的华盛顿邮报记者贾迈勒·卡舒吉 (Jamal Khashoggi)吗？他的手机就是其中之一。

而且，调查他S因的土耳其检察官也在名单当中（细思极恐）。

而价值高不高，就得看钱飘不飘了。

钱这方面，可以参考拥有相同攻击能力的另一家间谍软件供应商Hooking Candiru，他们对这套攻击方案的报价，是1600万欧元。

这套方案可以允许无限数量的间谍软件感染尝试，但只能同时监控10台设备，如果你再支付150万欧元，就可以额外监控15台设备并增加一个额外的国家/地区，再支付550万欧元，就可以额外加25台设备和5个国家/地区，不得不说，这生意算盘打的咔咔响，像是无良游戏商开发的充值系统，充到停不下来。

Question3：那我是不是也有可能被攻击？

如果按初始价格1600万欧元监控10台设备来算，平均1台160万欧元，吃瓜群众恐慌之前，可以先算下自己的隐私是否值这个价钱（手动狗头保命）。

除了价值因素外，NSO作为该恶意软件的开发公司，曾声称过其拥有行业领先的人权方法（我信了），只会将软件用于刑事和国家安全调查，这意味着普通组织和个人获取该恶意软件还是有一定难度的，而且出于隐蔽性考虑，也不太可能去大规模无差别攻击。

所以吃瓜群众们可以不用过于担心自己的隐私会因此泄露。

Question4：安卓有被攻击的风险吗？

严格来说，安卓系统上不排除存在与之类似的软件漏洞，可以达到相似的攻击效果。比如，2017年就曾爆发过8个蓝牙漏洞，可以让黑客无视蓝牙版本完全控制设备和数据。Armis Labs将这一组漏洞合称为“BlueBorne”。当时，BlueBorne的杀伤范围几乎涵盖所有具备蓝牙功能的Android、Linux、Windows和iOS设备。所以仅仅根据已有的信息，来断定安卓系统是安全还是不安全，这些结论目前来看还为时尚早。

BlueBorne相应的8个蓝牙漏洞列表：

1. Linux内核RCE漏洞 – CVE-2017-1000251

2. Linux蓝牙堆栈（BlueZ）信息泄漏漏洞 – CVE-2017-1000250

3. Android信息漏洞漏洞 – CVE-2017-0785

4. AndroidRCE漏洞＃1 – CVE-2017-0781

5. AndroidRCE漏洞＃2 – CVE-2017-0782

6. AndroidBluetooth Pineapple逻辑缺陷-CVE-2017-0783

7. WindowsBluetooth Pineapple逻辑缺陷-CVE-2017-8628

8. Apple低功耗音频协议RCE漏洞 – CVE-2017-14315

Question5：虽然但是，应该怎么进行防范呢？

目前对这个漏洞和恶意软件还没有公开的检测工具，也不太清楚苹果是否在最新的iOS14.7中进行了修复，根据苹果的回应来看，就是普通人可以——躺平。

如果感觉自己像是被攻击的目标，可以考虑关闭iMessage阻断攻击，等待苹果更新。

写在最后：攻击原理分析

虽然这次漏洞和恶意软件都没有进行披露，但从技术角度来说，其基于iMessage软件的攻击面已不是第一次暴露出来了，早在2020年1月份，Google公司大名鼎鼎的projectzero团队便做过深入的分析，也早已将相关的研究成果放在了projectzero的官方博客中，京东集团信息安全实验室的工程师为我们梳理了一下，技术大佬们可以参考研究——

iMessage漏洞攻击允许仅拥有用户Apple ID（手机号码或电子邮件地址）的攻击者在几分钟内远程控制用户的 iOS 设备。之后，攻击者可以窃取文件、密码、2FA 代码、SMS 和其他消息、电子邮件以及其他用户和应用程序数据，还可以远程激活麦克风和摄像头。这一切无需向用户显示任何用户交互（例如打开攻击者发送的 URL）或视觉指示器（例如通知）。projectzero曾利用单个漏洞（CVE-2019-8641） 首先绕过 ASLR，然后在沙箱外的目标设备上执行代码。

iMessage 整体软件架构

在最终向用户显示通知并将消息写入消息数据库之前，传入的 iMessage 会通过多个服务和框架。在 iOS 12.4 上处理 iMessage 的主要服务无需用户交互，如上图所示，红色边框表示进程存在沙箱。

为了通过 iMessage 传递漏洞利用，需要能够向目标发送自定义 iMessage。这需要与 Apple 的服务器进行交互并处理 iMessage 的端到端加密。Projectzero团队使用一种简单方法是通过使用 frida 之类的工具连接到 imagent 内部的 iMessage 处理代码来重用现有代码。有了这个，从 macOS 上运行的脚本发送自定义 iMessage 可以通过以下方式完成：

1. 构建所需的有效负载（例如调用 NSKeyedUnarchiver ）并将其存储到磁盘；

2.调用一个小的脚本，指示Messages.app 向目标发送带有占位符内容（例如“REPLACEME”）的消息；

3.使用 frida 挂钩 imagent 并将包含占位符的传出 iMessage 的内容替换为有效负载文件的内容。

同样，也可以通过使用 frida 钩住imagent 中的接收器函数来接收传入的消息。

例如，以下 iMessage（编码为二进制 plist）将在从 Messages.app 发送消息“REPLACEME”时发送给接收方：

fridahook 将在消息被序列化、加密并发送到 Apple 的服务器之前修改消息：

这将导致接收方设备上的 imagent 使用 NSKeyedUnarchiver API 解码 ati 字段中的数据（更多技术细节请参考示例代码https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage），最终触发漏洞，遭受攻击。

本文参考资料

【1】 https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus?CMP=Share_iOSApp_Other

【2】https://www.amnesty.org/en/latest/news/2021/07/pegasus-project-apple-iphones-compromised-by-nso-spyware/

【3】https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/

【4】https://googleprojectzero.blogspot.com/2020/01/remote-iphone-exploitation-part-1.html

【5】https://github.com/googleprojectzero/iOS-messaging-tools/tree/master/iMessage

责编：editorAlice