卡巴斯基：长达4年的iPhone攻击活动利用有史以来最高级的...

查克海耶斯

卡巴曝三角测量行动新证据：长达4年的iPhone攻击活动利用有史以来最高级的漏洞

2023年12月27日，卡巴斯基研究团队（Boris Larin、Leonid Bezvershenko和Georgy Kucherin）在德国汉堡会议中心举行的第37届混沌通信大会(37C3)上发表了题为“三角测量行动：攻击研究人员iPhone时会得到什么”的演讲。该演讲总结了卡巴研究者Igor Kuznetsov、Valentin Pashkov和Mikhail Vinogradov进行的三角测量行动长期研究的成果。这是研究团队第一次公开披露攻击中使用的所有漏洞的详细信息。卡巴研究团队称每天都会发现并分析使用这些漏洞的新攻击，并且他们已经发现并报告了Adobe、Apple、Google和Microsoft产品中的30多个野外零日漏洞，但这次的发现绝对是他们目前为目所见过的最复杂的攻击链。周三（12月27日）披露的新细节称，“三角测量”（卡巴斯基为该恶意软件和安装该恶意软件的活动所起的名字）利用了四个关键的零日漏洞，这意味着攻击者在发现之前就已经知道了严重的编程缺陷到苹果。苹果公司此后已修复了所有四个漏洞，这些漏洞被追踪为：CVE-2023-32434、CVE-2023-32435、CVE-2023-38606和CVE-2023-41990。除了影响iPhone之外，这些关键的零日漏洞和秘密硬件功能还存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基发现的漏洞是有意开发用于这些设备的。苹果也已经修补了这些平台。苹果拒绝对本文发表评论。

今年6月，研究人员针对一次攻击提出了有趣的新发现，该攻击在四年多的时间里给数十甚至数千部iPhone留下了后门，其中许多属于莫斯科安全公司卡巴斯基的员工。其中最主要的发现是：未知的攻击者能够通过利用未记录的硬件功能中的漏洞来实现前所未有的访问级别，而除了Apple和ARM Holdings等芯片供应商之外，很少有人知道这一漏洞。
卡巴斯基研究员鲍里斯·拉林（Boris Larin）在一封电子邮件中写道：“该漏洞的复杂性和功能的模糊性表明攻击者拥有先进的技术能力。” “我们的分析尚未揭示他们是如何意识到这一功能的，但我们正在探索所有可能性，包括过去固件或源代码版本中的意外披露。他们也可能通过硬件逆向工程偶然发现了它。”

周三公布的调查结果还详细介绍了支撑Triangulation感染的漏洞利用链的复杂性。如前所述，该链利用四个零日漏洞来确保Triangulation恶意软件以root权限运行，并完全控制设备及其上存储的用户数据。
它首先利用CVE-2023-41990，这是Apple实现TrueType字体中的一个漏洞。这个初始链使用包括面向返回编程和面向跳转编程等技术来绕过现代漏洞防御，允许攻击者远程执行代码，尽管具有最小的系统权限。
清除了最初的障碍后，漏洞利用链中的下一个环节就瞄准了iOS内核，这是为最敏感的设备功能和数据保留的操作系统核心。此内核操作由CVE-2023-42434和CVE-2023-39606提供。CVE-2023-42434是XNU中的一个内存损坏漏洞，XNU是一种旨在抵御损坏iOS内核内存的尝试的机制。此链接继续利用CVE-2023-39606，该漏洞存在于秘密MMIO寄存器中。它允许绕过页面保护层，这是前面讨论的防御措施，即使在内核受到损害后也可以防止恶意代码注入和内核修改。
然后，该链利用追踪为CVE-2023-32435的Safari漏洞来执行shellcode。反过来，生成的shellcode再次利用CVE-2023-32434和CVE-2023-38606，最终获得安装最后一个间谍软件负载所需的root访问权限。

日娃：
昨天在37c3的大会上卡巴斯基一篇报告详细讲解了三角测量行动。在ios下从imessage开始利用四个漏洞完成的攻击链，都是未公开漏洞。完全控制苹果手机系统。其中比较值得注意的就是提到了soc的一个硬件功能特性。他可以完全绕过内存保护机制，对物理内存进行读写操作等控制。卡巴斯基认为应该是苹果用于工程调试的。为了方便大家理解，说白了就是个官方后门。（不代表本人观点）（不是说其他的就一定安全）（没有绝对安全）

https://securelist.com/operation ... are-mystery/111669/

overflowal

这个玩意卡巴最早今年前些时候在自家公司里发现的，发现了有可疑的外联流量，顺藤摸瓜找到的。
当时就发现这玩意太尼玛先进了，不需要任何用户触发，直接给你的iphone发条用户不可见的信息就获得你手机的最高权限

—— 来自 Xiaomi 23049RAD8C, Android 13上的 S1Next-鹅版 v2.5.2-play

哈里-谢顿

这官方后门非常可疑，很有可能是米国情报机构弄的

zycilcy

更重要的是，卡巴斯基发现的漏洞是有意开发用于这些设备的。

为了方便大家理解，说白了就是个官方后门。

充满恶意的猜测一下，这个漏洞美情报机关肯定知道，说不定就是和苹果一起搞的。

fififi

有啥好叠甲的，苹果就是不安全

hu142001agian

所以你们知道为啥会有某些单位企业禁止使用外国手机的通知了吧........泥潭还起了高楼来辩来着

zycilcy

联动
https://bbs.saraba1st.com/2b/thread-2164206-0-1.html

莫夜戎

这种级别的漏洞不用想，肯定是有国家在背后的，就算不是苹果故意留的，那也是某个国家级别的网络安全机构搞出来的

yeo

没准是苹果草台班子，忘了把调试后门关上呢

七层嘉影

什么时候全面禁用

moeblack

这种“漏洞”不能多加吧？没偷到重要信息就漏了是不是太亏了

—— 来自 HUAWEI ALN-AL80, Android 12上的 S1Next-鹅版 v2.1.2

niubility

果狗还经常转些什么fbi无法解密苹果手机啥的新闻来证明iPhone安全系数高，真是看了就让人发笑，真以为美国政府会让一个掌握不了的企业发展到那么大么？

—— 来自 S1Fun

闪电旋风劈

哎，大象

哦，看错了，这是人性的胜利，自由民主国家的企业不会作恶

恐惧之眼是我家

我自学计算机基础课教材时，印象很深的是很多技术都可以追溯到美国的军事工业，比如说VHDL最早由美国国防部进行开发，软件工程概念最早在NATO的一次会议上提出，Internet的前身ARPAnet是美国国防部高级计划局推进的项目。

事实证明美国以NSA为代表的这伙人既有野心也有能力，但是每当有人提类似的新闻时总会被很多人当傻子嘲讽。

横戌点戍空心戊

苹果也不是什么火星企业，就西大的传统艺能，没啥意外吧。

shineaslin

支持一切能爆外面金币的行为

沙发果冻

生年不满百 发表于 2023-12-28 14:19
还美国fbi无法入侵苹果手机，开什么读者玩笑

可能别人那个叫官方渠道，不叫入侵

airfire

斯诺登事件不早曝出来了，美帝自己小弟都要监听的德性，还会放过自己企业？

变老的大二

默克尔手机都被监听了多久了，老美搞这个熟门熟路

查克海耶斯

看完卡巴斯基的报道了，确实是很复杂很完美的攻击链条，还包括消除痕迹牛的。这么高级的攻击方式，用在一般目标上都觉得不值。

sheshiro

【比反诈中心还厉害吗？】

sxcluck

美国人自己都说了，在美国要隐私用华为

木葉梟

niubility 发表于 2023-12-28 14:17
果狗还经常转些什么fbi无法解密苹果手机啥的新闻来证明iPhone安全系数高，真是看了就让人发笑，真以为美国 ...

只要按照规则有法院的文件苹果不会不配合的，
炒作的那些都是直接打电话要求苹果提供数据的草台行为，
每次遇到这种事就要炒作一遍苹果保护隐私，
实际上只要盖章的文件拿出来，不配合就是犯法，后门都是现成准备好的。

结构化文本SCL

力挺企事业单位苹果用户，反正泄密了又不抓我

kiraabu

除了果粉没人会怀疑苹果有专门给丑国政府留的后门吧

yigua

这种听起来就是架构feature。要绕开地址隔离之间访问memmory所有空间，必须依赖硬件设计上特定的模式+对应专门开发程序/驱动

木葉梟

建议果粉还是快点换手机吧，不会有人有被监视的癖好吧？

88is88

行得正坐得正，不做一点有害美利坚的亏心事，怕什么被监控

剑鹰

生年不满百 发表于 2023-12-28 14:19
还美国fbi无法入侵苹果手机，开什么读者玩笑

fbi假装无法入侵，然后花点经费找人假装入侵一下岂不是更美

黄泉川此方

你怎么知道水果粉丝不是为了被监控才买的

ywydsd

yeo 发表于 2023-12-28 14:12
没准是苹果草台班子，忘了把调试后门关上呢

信了

—— 来自 S1Fun

ywydsd

剑鹰 发表于 2023-12-28 14:48
fbi假装无法入侵，然后花点经费找人假装入侵一下岂不是更美

就是一起演戏罢了

—— 来自 S1Fun

KevinGraham

不是，怕被监控没手机可以买了吧，我反正果米双持，非常有底裤早没了的自觉

Trill

棱镜计划都多少年了，泥潭不会真的有信信息安全的小白吧，一条个人信息在某软件上才几个钱，别人真的稀罕吗，也就自己稀罕吧

陶倩倩

重量级美国并夕夕

ctss1

yigua 发表于 2023-12-28 14:35
这种听起来就是架构feature。要绕开地址隔离之间访问memmory所有空间，必须依赖硬件设计上特定的模式+对应 ...

苹果的公开firmware和文档没有任何api对这几个寄存器作操作，如果有特殊的内部测试需求，产品上得屏蔽处理才对

理论上外部根本不知道这几个寄存器地址是可读写的，更别说直接利用内部逻辑了，然而事实是这个后门已经被利用了多年并且在至少4代处理器中都存在

硬要说是架构feature也没错，DFT就是干这个的，但在正常内存空间里留一个DFT接口是想干啥呢

cyanwow

看了看原文，这玩意的技术难度相当于一队黑户从缅甸出发坐高铁飞机光明正大到了北京某个海

yigua

ctss1 发表于 2023-12-28 15:07
苹果的公开firmware和文档没有任何api对这几个寄存器作操作，如果有特殊的内部测试需求，产品上得屏蔽处 ...

DFT可做不到这种事情，DFT扫描完之后是需要reset的，这个听起来就是正常程序无感的