破解關機的iPhone:漏洞永不休眠
近日,研究人員發現iPhone在關機狀態下仍在工作,即使手機斷電,也可能會面臨黑客攻擊和被植入惡意軟件的風險。
德國達姆施塔特(Darmstadt)大學安全移動網絡實驗室的研究人員發表了一篇名為《邪惡永不眠:當無線惡意軟件在關閉iPhone后繼續運行》(Evil Never Sleeps:When Wireless Malware Stays On After Turning Off iPhones)的論文,描述了一種破解關機狀態iPhone的理論方法。該研究檢查了無線模塊的操作,找到了分析藍牙固件的方法,從而引入了能夠完全獨立于設備操作系統iOS運行的惡意軟件。
稍微想象一下,不難預見這樣一個場景:攻擊者將受感染的手機靠近受害者的設備并傳輸惡意軟件,然后竊取支付卡信息甚至虛擬車鑰匙。
之所以需要想象是因為該論文的作者只是理論上證明了這一點,距離實際的攻擊還差一步。即便如此,研究人員還是做了很多工作來分析手機的未記錄功能,對其藍牙固件進行逆向工程,并對使用無線模塊的各種場景進行建模。
首先要聲明一個重點:如果設備已關閉,但與它的交互(例如黑客攻擊)仍然是可能的,那么你猜怎么著——它并沒有完全關閉!
我們是如何做到關閉某些東西卻又沒完全關閉的呢?讓我們從頭說起……
蘋果的低功耗(LPM)模式
2021年,Apple宣布即使設備關閉,用于定位丟失設備的Find My服務也能正常運行。自iPhone 11以來,所有Apple智能手機都可以使用這項改進功能。
例如,如果用戶在某處丟失了手機并且它的電池在一段時間后耗盡,它并不會完全關閉,而是切換到低功耗(Low-Power Mode,LPM)模式,其中只有非常有限的一組模塊保持活躍。這些主要是藍牙和超寬帶(UWB)無線模塊,以及近場通信(NFC)等。還有所謂的安全元件——一種安全芯片,用于存儲您最寶貴的秘密,例如用于非接觸式支付的信用卡詳細信息或車鑰匙(自2020年以來為有限數量的車輛提供的最新功能)。
LPM是iPhone的一種省電模式,該模式打開時,手機狀態欄中的電池圖標將變為黃色,待iPhone或iPad充電至80%或更高電量后,蘋果的LPM會自動關閉。
LPM模式下的藍牙用于數據傳輸,而UWB用于確定智能手機的位置。在LPM模式下,智能手機會發送有關自己的信息,路人的iPhone可以獲取這些信息。如果丟失手機的所有者在線登錄其Apple帳戶并將手機標記為丟失,那么來自周圍智能手機的信息將用于確定設備的下落。
不可否認,LPM模式為用戶提供了便利,但也增加了安全風險,引發了信息安全專家的關注。為此,來自德國的研究團隊決定在實踐中測試可能的攻擊場景。
關機之后的“Find My”功能
首先,研究人員對低功耗模式下的Find My服務進行了詳細分析,發現了一些前所未知的特性。斷電后,大部分工作由藍牙模塊處理,通過一組iOS命令重新加載和配置。然后它會定期通過無線發送數據包,允許其他設備檢測到未真正關閉的iPhone。
事實證明,這種模式的持續時間是有限的:在iOS 15.3版本中,僅設置了96個廣播會話,間隔為15分鐘。也就是說,丟失且關機的iPhone只能在24小時內找到。如果手機因電池電量不足而關機,則窗口會更短——大約5個小時。這可以被視為該功能的一個“怪癖”,但也暴露了一個真正的錯誤:有時當手機關閉時,“信標”模式根本沒有激活,雖然它應該是激活的。
這里最有趣的是藍牙模塊在斷電前被重新編程;也就是說,它的功能發生了根本性的改變。但是,如果它可以重新編程以損害所有者的利益,結果又會怎樣?
針對關機手機的攻擊
事實上,該研究團隊的主要發現是藍牙模塊的固件并非加密,也未受到“安全啟動”(Secure Boot)技術的保護。安全啟動涉及在啟動時對程序代碼進行多級驗證,以確保只有設備制造商授權的固件才能運行。
缺乏加密允許分析固件和搜索漏洞,這些漏洞以后可用于攻擊。但是缺乏安全啟動將允許攻擊者用他們自己的代碼完全替換制造商的代碼,然后藍牙模塊會執行這些代碼。相較之下,對iPhone UWB模塊固件的分析顯示它受到Secure Boot的保護,但固件同樣未加密。
當然,對于嚴重的實際攻擊來說,這還不夠。為此,攻擊者需要分析固件,嘗試用自己制作的東西替換它,并尋找入侵的方法。該論文的作者詳細描述了攻擊的理論模型,但并未展示iPhone可以通過藍牙、NFC或UWB進行實際的黑客攻擊。研究結果清楚表明,如果這些模塊始終處于打開狀態,那么漏洞同樣將始終有效。
Apple對這項研究不以為然,并且拒絕提供任何信息。研究人員必須處理封閉的軟件代碼,且這些代碼通常是加密的。智能手機是一個龐大而復雜的系統,很難研究清楚,尤其是在制造商不配合甚至百般阻撓的情況下。
雖然這項研究發現稱不上令人驚嘆,但它是大量艱苦工作的結果。而且這篇論文對關機手機電源的安全策略提出了質疑,這些質疑也被證實是有道理的。
半斷電(half powered-off)設備
該論文得出結論,藍牙固件沒有得到充分保護。理論上,可以在iOS中對其進行修改,或者通過擴展/更改其功能來重新編程相同的低功耗模式。然而,主要問題是這些無線模塊(以及NFC)直接與作為安全元件的受保護飛地(enclave)通信。這讓我們得出了這篇論文中一些最令人興奮的結論:
從理論上講,即使設備處于關機狀態,也有可能從iPhone上竊取虛擬車鑰匙!顯然,如果iPhone是車鑰匙,丟失設備可能意味著丟失汽車。但是,在這種情況下,當鑰匙被盜時,實際的手機仍然在您手中。想象下述場景:一個惡意行為者在商場接近你,用手機刷你的包,偷走你的虛擬鑰匙。
理論上可以修改藍牙模塊發送的數據,例如,為了使用智能手機監視受害者——同樣地,即使在手機關機的狀態下。
從手機中竊取支付卡信息是另一種理論上的可能性。
但這當然還有待證明。德國團隊的研究再次表明,添加新功能會帶來一定的安全風險,必須慎重考慮。尤其是當現實與想象大相徑庭時:你認為自己的手機完全關機了,而實際上并非如此。
請注意,這并不是一個全新的問題。英特爾管理引擎和AMD安全技術也可以處理系統保護和安全遠程管理,只要筆記本電腦或臺式電腦的主板連接到電源,它們就會處于活動狀態。與iPhone中的藍牙/UWB/NFC/安全元件捆綁包一樣,這些系統在計算機內部擁有廣泛的權限,其中的漏洞可能非常危險。
從好的方面來說,該論文對普通用戶沒有直接影響,研究中獲得的數據不足以進行實際攻擊。但作為一個萬無一失的解決方案,研究人員建議Apple應該實施一個硬件開關,完全切斷手機的電源。但鑒于Apple的“物理按鈕恐懼癥”,這一點應該很難實現。
原文鏈接
https://usa.kaspersky.com/blog/hacking-powered-off-iphone/26579/
文章來源:FreeBuf.com
黑白之道發布、轉載的文章中所涉及的技術、思路和工具僅供以安全為目的的學習交流使用,任何人不得將其用于非法用途及盈利等目的,否則后果自行承擔!
