iPhone关机后仍可运行恶意软件

admin 2022年5月20日11:39:54安全新闻评论15 views1234字阅读4分6秒阅读模式

iPhone关机后仍可运行恶意软件

研究人员发现可在iPhone关机后运行恶意软件的新方法。

iPhone关机后仍可运行恶意软件 技术分析

iPhone关机后仍可运行恶意软件

LPM(low power mode,低电量模式)特征是2021年在iOS 15中引入的新特征。iPhone关机后在LPM模式下,大多数无线芯片仍然处于运行中。iPhone的Find My network功能仍然是正常工作的。如果电池电量低,iPhone自动关机,并进入电量备用(power reserve mode)低电量模式。在最新的iPhone功能中,蓝牙、NFF、UWB等在关机后仍然保持运行,所有的无线芯片都可以直接访问Secure Element (SE)。用户仍然可以使用钱包功能,如访问信用卡。

iPhone关机后仍可运行恶意软件

iPhone关机时会显示一个消息:iPhone在关机后仍然可以被发现。Find My在用户手机丢失或被盗后帮助用户定位其手机,即使手机关机或处于power reserve mode模式。使用Find My network网络在低电量甚至关机情况下追踪丢失的设备成为可能。当前支持UWB的设备包括iPhone 11、iPhone 12和iPhone 13。

iPhone关机后仍可运行恶意软件

蓝牙和UWB芯片与NFC芯片中的Secure Element (SE)硬件相连,SE负责保存LPM中的秘密数据。LPM支持是在硬件中实现的,无法通过修改软件组件的方式移除。由于当前LPM实现是相对透明的,研究人员发现iPhone在关机时初始化Find My会失败,与iPhone展示的信息并不一致。但研究人员发现蓝牙固件既未签名也未加密。因此,在最新的iPhone上,无线芯片在关机后将不再可信。这是一个新的威胁模型。

利用该漏洞,具有特权的攻击者就可以创建能够在iPhone蓝牙芯片上执行的恶意软件,即使iPhone处于关机状态。攻击者必须能够与固件通过操作系统进行通信,修改固件镜像,在LPM芯片上实现代码执行。

研究人员的思路是修改LPM应用线程来嵌入恶意软件,比如修改受害者Find My 蓝牙广播,使攻击者可以保持与目标的远程连接。

iPhone关机后仍可运行恶意软件 建议

研究人员将该问题报告给苹果公司后,但苹果并未给出反馈。LPM支持是基于iPhone的硬件的,因此无法通过系统更新来移除,会对整个iOS安全模型带来持续性的影响。

研究人员建议苹果公司使用基于硬件的交换机来断开与电池的连接,以缓解固件级攻击引发的监控威胁。

iPhone关机后仍可运行恶意软件 总结

LPM特征的设计是功能驱动的,并未考虑应用的潜在安全威胁。从设计原理看,iPhone在关机后使用Find My功能可以追踪设备。但从实现情况来看,在蓝牙固件中实现是不安全的,无法应对攻击者的潜在修改。

相关研究成果将在5月举行的ACM WiSec 2022安全大会上展示。论文下载地址:https://arxiv.org/pdf/2205.06114.pdf

参考及来源:https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html

iPhone关机后仍可运行恶意软件

iPhone关机后仍可运行恶意软件

原文始发于微信公众号(嘶吼专业版):iPhone关机后仍可运行恶意软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月20日11:39:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  iPhone关机后仍可运行恶意软件 http://cn-sec.com/archives/1024693.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: