卡巴斯基：苹果公司向NSA提供iPhone后门

近日，卡巴斯基安全研究人员Boris Larin披露了iPhone历史上最复杂的间谍软件攻击——三角测量（Triangulation）的技术细节。自2019年以来，“三角定位行动”（Operation Triangulation）间谍软件持续对iPhone设备进行攻击。该软件利用苹果芯片中未记录的特性绕过基于硬件的安全保护措施。

卡巴斯基分析师在2023年6月首次发现了上述攻击活动。随后，他们对这条复杂的攻击链进行了逆向工程。他们发现了一些预留用于调试和出厂测试的隐蔽硬件特性，可以利用它们对iPhone用户发动间谍软件攻击。

01

复杂的漏洞利用

据相关报道披露，三角定位行动是一起针对苹果iPhone设备的间谍软件行动，其利用了四个零日漏洞。这些漏洞被链接在一起，组合成一个零点击漏洞利用链，允许攻击者提升权限并执行远程代码。

这个高度复杂的漏洞链包括四个漏洞，能够影响iOS 16.2之前的所有iOS版本。它们分别是：

1、CVE-2023-41990：ADJUST TrueType字体指令中的一个漏洞，允许通过恶意iMessage附件执行远程代码。

2、CVE-2023-32434：XNU内存映射系统调用中的整数溢出问题，授予攻击者对设备物理内存的广泛读写访问权限。

3、CVE-2023-32435：Safari浏览器漏洞，可以用来执行shellcode，作为多阶段攻击的一部分。

4、CVE-2023-38606：利用硬件内存映射输入/输出（MMIO）寄存器绕过页面保护层（PPL），超越基于硬件的安全保护措施。

研究人员发现，攻击者用来绕过内存保护的几个MMIO地址在任何设备树文档中都没有被识别出来，这些文档可以作为为iPhone创建硬件或软件的工程师的参考。即使研究人员进一步搜索源代码、内核映像和固件，他们仍然找不到任何提及MMIO地址的内容。

卡巴斯基研究员鲍里斯·拉林（Boris Larin）在一份新闻稿中说道：“由于iOS生态系统的封闭性，发现过程既充满挑战又耗时，需要对硬件和软件架构有全面的了解。这一发现再次告诉我们，即使是先进的基于硬件的保护措施在面对复杂的攻击者时也可能变得无效，特别是当存在允许绕过这些保护措施的硬件功能时。”

除了影响iPhone之外，这些秘密硬件功能及其高危零日漏洞还存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基发现，这些漏洞并非“失误”，而是有意开发用于这些设备。

02

奇妙的CVE-2023-38606漏洞

卡巴研究团队称如果他们尝试描述此功能以及攻击者如何利用它，那么一切都可以归结为：他们能够将数据写入某个物理地址，同时通过写入数据、目标地址、以及将数据散列到固件未使用的芯片的未知硬件寄存器。

对于那个暗藏的硬件功能，到底是苹果工程师或工厂用于调试或测试目的，还是有人刻意地设置进去的，并不能确定。由于固件未使用此功能，研究者也不知道攻击者如何知晓并利用它。

对此，卡巴斯基和俄罗斯联邦安全局情报和安全机构FSB先后发布报告，声称苹果公司故意向美国国家安全局提供了这么一个后门，而且攻击者曾利用该漏洞对卡巴斯基、驻俄中国大使馆等多个组织实施了攻击，只是目前尚无明确证据能够坐实这些指控。

相关研究人员指出，该攻击在四年多的时间里给数十甚至数千部iPhone留下了后门，其中许多属于莫斯科安全公司卡巴斯基的员工。而最主要的发现是：未知的攻击者能够通过利用未记录的硬件功能中的漏洞来实现前所未有的访问级别，而除了Apple和ARM Holdings等芯片供应商之外，很少有人知道这一漏洞。

拉林对此：“该漏洞的复杂性和功能的模糊性表明攻击者拥有先进的技术能力。我们的分析尚未揭示他们是如何意识到这一功能的，但我们正在探索所有可能性，包括过去固件或源代码版本中的意外披露。他们也可能通过硬件逆向工程偶然发现了它。”

俄罗斯政府此前曾建议所有总统政府雇员放弃使用苹果iPhone，并在可能的情况下完全放弃美国制造的技术。卡巴斯基向BleepingComputer证实，这次攻击影响了其在莫斯科的总部办公室和其他国家的员工。尽管如此，该公司表示无法核实其调查结果与FSB报告之间的联系，因为他们没有政府调查的技术细节。

03

网友评论

对于此事关注的群体虽然不多，但还是有网友提出：攻击者利用了一个芯片级硬件寄存器特性，完成了任意物理内存地址读写，绕过了苹果所有的防御机制。但固件中没有任何地方使用、操作过这个寄存器，也没有任何文档。也就是说除了苹果自己，甚至不应该有人知道这个特性。卡巴认为这可能是一个苹果或者ARM内部使用的工程师调试后门，那攻击者又是如何发现的？

另有网友对此附和：很多api设计之后，文档里面也都是没有说明的，而这些apI最有可能存在漏洞，所以大家还是管理好自己手机的“授权管理”吧，如果连企业内部人员都在帮助编写exp，那确实挺难防御的。