iPhone关机后仍可运行恶意软件

研究人员发现可在iPhone关机后运行恶意软件的新方法。

技术分析

LPM（low power mode，低电量模式）特征是2021年在iOS 15中引入的新特征。iPhone关机后在LPM模式下，大多数无线芯片仍然处于运行中。iPhone的Find My network功能仍然是正常工作的。如果电池电量低，iPhone自动关机，并进入电量备用（power reserve mode）低电量模式。在最新的iPhone功能中，蓝牙、NFF、UWB等在关机后仍然保持运行，所有的无线芯片都可以直接访问Secure Element (SE)。用户仍然可以使用钱包功能，如访问信用卡。

iPhone关机时会显示一个消息：iPhone在关机后仍然可以被发现。Find My在用户手机丢失或被盗后帮助用户定位其手机，即使手机关机或处于power reserve mode模式。使用Find My network网络在低电量甚至关机情况下追踪丢失的设备成为可能。当前支持UWB的设备包括iPhone 11、iPhone 12和iPhone 13。

蓝牙和UWB芯片与NFC芯片中的Secure Element (SE)硬件相连，SE负责保存LPM中的秘密数据。LPM支持是在硬件中实现的，无法通过修改软件组件的方式移除。由于当前LPM实现是相对透明的，研究人员发现iPhone在关机时初始化Find My会失败，与iPhone展示的信息并不一致。但研究人员发现蓝牙固件既未签名也未加密。因此，在最新的iPhone上，无线芯片在关机后将不再可信。这是一个新的威胁模型。

利用该漏洞，具有特权的攻击者就可以创建能够在iPhone蓝牙芯片上执行的恶意软件，即使iPhone处于关机状态。攻击者必须能够与固件通过操作系统进行通信，修改固件镜像，在LPM芯片上实现代码执行。

研究人员的思路是修改LPM应用线程来嵌入恶意软件，比如修改受害者Find My 蓝牙广播，使攻击者可以保持与目标的远程连接。

建议

研究人员将该问题报告给苹果公司后，但苹果并未给出反馈。LPM支持是基于iPhone的硬件的，因此无法通过系统更新来移除，会对整个iOS安全模型带来持续性的影响。

研究人员建议苹果公司使用基于硬件的交换机来断开与电池的连接，以缓解固件级攻击引发的监控威胁。

总结

LPM特征的设计是功能驱动的，并未考虑应用的潜在安全威胁。从设计原理看，iPhone在关机后使用Find My功能可以追踪设备。但从实现情况来看，在蓝牙固件中实现是不安全的，无法应对攻击者的潜在修改。

相关研究成果将在5月举行的ACM WiSec 2022安全大会上展示。论文下载地址：https://arxiv.org/pdf/2205.06114.pdf

参考及来源：https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html