自2019年以来，针对iPhone设备的Operation Triangulation（三角测量行动）间谍软件攻击就一直利用苹果芯片中未记入文档的功能，绕过基于硬件的安全保护机制。

三角测量行动

三角测量行动是一起使用四个零日漏洞针对苹果iPhone设备发动攻击的间谍软件活动。这些漏洞串联起来，共同组成了一个零点击漏洞利用工具，从而允许攻击者提升特权，并远程执行代码。

构成这条高度复杂的漏洞利用工具链的四个漏洞包括如下，它们适用于直至iOS 16.2的所有iOS版本：

•CVE-2023-41990：ADJUST TrueType字体指令中的一个漏洞，允许通过恶意iMessage附件远程执行代码。

•CVE-2023-32434：XNU内存映射系统调用中的整数溢出问题，允许攻击者对设备的物理内存进行广泛的读取/写入访问。

•CVE-2023-32435：Safari漏洞利用工具中用于执行外壳代码（shellcode），作为多阶段攻击的一部分。

•CVE-2023-38606：这个漏洞使用硬件MMIO寄存器绕过页面保护层（PPL），从而使基于硬件的安全保护机制形同虚设。

攻击从发送给攻击目标的恶意iMessage附件开始，整条链是零点击，这意味着它不需要用户的交互，也不会生成或留下任何明显的迹象或痕迹。

卡巴斯基在自己的网络中发现了攻击，到目前为止，攻击的来源仍然不清楚，也没有证据证明这些指控属实。

苹果公司在2023年6月21日发布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7，修复了当时确认的两个零日漏洞（CVE-2023-32434和CVE-2023-32435）。

图1. 三角测量行动攻击链（图片来源：卡巴斯基）

高度复杂的攻击

在上述漏洞当中，CVE-2023-38606是卡巴斯基的分析师们最感兴趣的一个漏洞。该漏洞于2023年7月24日随着iOS/iPadOS 16.6的发布而得到解决。

利用该漏洞，攻击者可以绕过苹果芯片上的硬件保护机制。硬件保护机制原本可以防止攻击者在获得对内核内存的读取写入访问权限时全面控制设备，使用另外的CVE-2023-32434漏洞可以实现这番操作。

卡巴斯基在深入分析的技术报告中解释道，CVE-2023-38606针对的目标是苹果A12-A16 Bionic（仿生）处理器中未知的MMIO（内存映射输入/输出）寄存器，可能与该芯片的GPU协处理器有关，这在设备树中并未列出来。

图2.三角测量攻击中的MIMO范围（图片来源：卡巴斯基）

三角测量行动使用这些寄存器来操纵硬件功能，并在攻击期间控制直接内存访问。

卡巴斯基的报告解释道：“攻击者能够将数据写入到某个特定的物理地址，同时绕过基于硬件的内存保护机制，只需将数据、目标地址和数据哈希值写入到固件未使用的芯片的未知硬件寄存器。”

卡巴斯基推测，在最终的消费者版iPhone中加入这项未记入文档的硬件功能要么是一个错误，要么是为了帮助苹果公司的工程师进行调试和测试而存在，苹果通过更新设备树来限制物理地址映射修复了这个缺陷。

参考及来源：https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/