iPhone曝出“末日”漏洞

近日，微軟和公民實驗室發現以色列公司QuaDream制造的商業間諜軟件使用了名為“末日”（ENDOFDAYS）的零點擊漏洞來入侵高價值目標的個人iPhone手機。

存在該零日漏洞的iPhone操作系統包括iOS1.4至14.4.2版本。研究人員發現攻擊者在2021年1月至11月期間通過“不可見的iCloud日歷邀請”利用該漏洞。

當受害者在iOS設備上收到帶有回溯時間戳的iCloud日歷邀請時，會自動添加到用戶的日歷中，整個過程沒有任何用戶可感知的通知或提示，從而使末日漏洞在沒有用戶交互（零點擊）的情況下運行，并且攻擊無法被目標檢測到。

公民實驗室的研究人員透露：“北美、中亞、東南亞、歐洲和中東的至少發現五名QuaDream間諜軟件和漏洞利用的民間受害者。”

此活動中部署的監視惡意軟件（被微軟稱為KingsPawn）還具備自毀功能，可自行刪除并清除受害者iPhone中的任何痕跡以逃避檢測。

根據公民實驗室的分析，該間諜軟件具有廣泛的“功能”，從錄制環境音頻和通話到允許威脅行為者搜索受害者的手機。

QuaDream間諜軟件的完整功能列表如下：

• 錄制電話中的音頻
• 從麥克風錄制音頻
• 通過設備的前置或后置攝像頭拍照
• 從設備的鑰匙串中泄露和移除項目
• 劫持手機的Anisette框架并掛接gettimeofday系統調用，為任意日期生成iCloud基于時間的一次性密碼（TOTP）登錄代碼。我們懷疑這用于生成對未來日期有效的雙因素身份驗證代碼，以便直接從iCloud持續泄露用戶數據
• 在手機上的SQL數據庫中運行查詢
• 清除零點擊漏洞可能留下的痕跡
• 跟蹤設備的位置
• 執行各種文件系統操作，包括搜索與指定特征匹配的文件

公民實驗室在多個國家/地區發現了QuaDream服務器，包括保加利亞、捷克共和國、匈牙利、加納、以色列、墨西哥、羅馬尼亞、新加坡、阿拉伯聯合酋長國和烏茲別克斯坦。

“這份報告提醒人們，間諜軟件行業（的攻擊能力）比任何一家公司都要強大，研究人員和潛在目標都需要保持警惕。”公民實驗室指出：“在通過系統性政府法規遏制商業間諜軟件失控和擴散之前，濫用案件的數量可能會繼續增長，無論是由具有可識別名稱的公司還是仍在暗中運營的公司推動的。”

一年前，公民實驗室還披露了iPhone上另外一個iMessage零點擊漏洞（稱為HOMAGE）的詳細信息，該漏洞用于在加泰羅尼亞政客，記者和活動家的iPhone上安裝NSO集團間諜軟件。

迄今，由NSO Group，Cytrox，Hacking Team和FinFisher等監視技術提供商提供的商業間諜軟件已反復部署在存在零日漏洞的安卓和iOS設備上（在大多數情況下，通過目標無法檢測到的零點擊漏洞）。