一、背景概述
卡巴斯基研究团队12月27日在第37届混沌通信大会上公布最新研究称,自2019年以来苹果iPhone手机中存在的未知硬件功能在“三角测量行动”(Operation Triangulation)间谍软件持续对iPhone设备进行攻击。
报告指出,该攻击框架的核心是一个名为TriangleDB 的后门,该植入程序包含至少四个不同的木块,用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。
据悉,卡巴斯基分析师在2023年6月首次发现了上述攻击活动。随后,他们对这条复杂的攻击链进行了逆向工程,试图挖掘所有细节。分析师发现一些预留用于调试和测试的隐蔽硬件特性的漏洞,可被对iPhone用户发动间谍软件攻击。这表明发动攻击的威胁行为者水平相当高。
这也充分说明,依赖于隐蔽和保密的硬件设计或测试,并不能确保安全性。
二、内容分析
根据卡巴斯基发布的“三角测量行动”攻击链,该间谍软件活动是卡巴斯斯所发现的“最复杂的攻击链”,利用一系列4个零日漏洞,上述漏洞链接在一起创建了一个“零点击”漏洞,使得攻击者能够提升权限并执行远程代码。其中,CVE-2023-41990是ADJUST TrueType 字体指令中存在漏洞,允许通过恶意iMessage附件远程执行代码;CVE-2023-32434是XNU 内存映射系统调用中存在整数溢出问题,允许攻击者对设备的物理内存进行广泛的读/写访问;CVE-2023-32435作为多阶段攻击的一部分在Safari漏洞利用中用于执行shellcode;CVE-2023-38606是使用硬件内存映射I/O寄存器绕过页面保护层(PPL)的漏洞,从而覆盖基于硬件的安全保护。攻击从发送到目标的恶意iMessage附件开始,而整个链条是“零点击”的,这意味着它不需要用户交互,也不会生成任何明显的迹象或痕迹。
在最新的研究中,卡巴斯基重点研究了CVE-2023-38606漏洞,攻击者利用该漏洞可以绕过苹果芯片上的硬件保护。卡巴斯基表示,CVE-2023-38606并非普通漏洞,针对的是 Apple A12-A16 Bionic处理器中未知的内存映射I/O寄存器,可能与该芯片的GPU 处理器相关联;攻击者利用了苹果公司设计的单片系统(SoC)的一个硬件功能,该功能很可能被苹果工程师或工厂用于调试或测试目的;该漏洞利用上述功能的方式是将数据写入某个物理地址,同时通过将数据、目标地址和数据哈希写入固件未使用的芯片的未知硬件寄存器。卡巴斯基表示,只要存在可以绕过基于硬件的高级保护的硬件功能,上述保护在面对老练的攻击者时就毫无用处。
三、启示建议
建议我相关部门或单位持续苹果手机处理器后门漏洞问题具体可从以下几方面进行优化:一是进一步加强产业链供应链安全,定期组织人员进行安全风险评估;二是进一步提升核心关键领域自主可控,实现颠覆性技术创新和引领性原创成果突破;三是在关键领域进一步减少未知设备使用,统筹协调各相关部门加强威胁信息共享。
参考资料:
https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/
商务合作丨开白转载丨媒体交流 联系方式:18813062895
往 期 回 顾:
【我们这一年】网络和数据安全保障体系建设创新推进 综合保障水平有效提升
点“在看”给我一朵小黄花
原文始发于微信公众号(网络靖安司CSIZ):原创丨卡巴斯基曝光针对iPhone手机的“三角测量行动”攻击链
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论