iLeakage 攻击可从Safari 窃取邮件和密码

iLeakage 是首个针对苹果 Silicon CPU 和 Safari 浏览器的推断性执行攻击演示。该攻击可用于从iOS 系统上的 Safari、火狐、Tor 和 Edge 浏览器中检索“准确度几近完美的”数据。该攻击从本质上讲是一种无定时 (timerless) 的Spectre 攻击，可绕过由所有浏览器厂商执行的标准侧信道防护措施。

iLeakage 由佐治亚理工学院、密歇根大学和波鸿鲁尔大学组成的学术团队开发而成，通过执行基于竞争条件的无定时和架构不可知方法来检查Safari 的侧信道弹性并设法绕过已有应对措施。

研究人员主要关注读取 Safari 的敏感信息，并通过创建原语来窃取数据。该原语能够推断性读取并泄露苹果浏览器用于渲染流程的地址空间中的64位指针。研究人员通过对抗苹果在其浏览器中执行的侧信道防护措施（如低分辨率定时器、压缩35位寻址和值投毒）来实现。研究人员还绕过了 Safari 的站点隔离策略。他们使用的是 JavaScript window.open API 技术，可使攻击者页面共享与任意受害者页面一样的地址空间。

通过使用推断性类型混淆绕过苹果的压缩35位寻址和值投毒应对措施，研究人员可泄露目标页面的敏感数据如密码和邮件。该攻击的 PoC 代码用 JavaScript 和 WebAssembly 编写而成。

研究人员通过视频演示了如何通过 iLeakage 攻击检索iPad 上 Safari 浏览器中的 Gmail 信息。运行该攻击的基本要求是受害者用户与攻击者页面进行交互。研究员通过同样的方法检索了 Instagram 测试账户的密码，该密码是通过 LastPass 密码管理服务自动填充到 Safari web 浏览器中的。

在另外一次实验中，研究人员展示了 iLeakage 攻击如何在 iOS 版的 Chrome 浏览器中运行以及如何检索 YouTube 观看历史。他们解释称，苹果的策略强制要求所有第三方 iOS 浏览器叠加到 Safari 顶层并使用苹果u浏览器的 JavaScript 引擎。

iLeakage 依赖于在苹果 Silicon 芯片 (M1、M2) 中推断执行的利用，其中CPU的预测执行会不清楚是否需要的前提下就会执行最需要的任务。该机制存在于所有现代 CPU 中，极大地提升了性能；然而，设计缺陷可引发数据泄露，就像六年前 Meltdown 和 Spectre 攻击披露的那样。研究人员还在论文中发布了更多详情。

iLeakage 影响自2020年起发布的由苹果A系列和M系列ARM处理器驱动的所有苹果设备。

虽然该攻击基本无法被检测到，除了可能会在浏览器缓存中遗留攻击者的网页外，在日志中的受害者系统上没有遗留任何痕迹。尽管如此，研究人员强调称攻击难以执行，“而且需要掌握对基于浏览器的侧信道攻击和 Safari 实现的高阶知识”。

研究人员在2022年9月12日私下将 iLeakage 告知苹果公司，后者为 macOS 开发了如下缓解措施：

1、打开 Terminal 并运行 ‘defaults write com.apple.Safari IncludeInternalDebugMenu 1’ 以启用Safari 的隐藏调试目录。

2、打开Safari 并导向新的可见的调试目录。

3、选择“WebKit 内部特性”。

4、滚动并激活 “打开跨站点窗口上的进程”。

缓解措施可能会引发一些不稳定性。如果用户想要禁用，则可在终端运行命令，在调试目录中进行禁用。

除了 iLeakage 的实际影响外，该研究说明新兴的基于 ARM 平台中的潜在推断性执行风险可能不像 x86 架构那样获得更多审计。