伊恩啤酒的帖子谷歌Zero项目昨天晚上发布的消息震惊了整个安全社区。据比尔称,今年2月,有一小部分网站被黑客入侵,被用来攻击iphone,用恶意软件感染它们。这些网站每周都有成千上万的访问者,在两年的时间里被用来传播iOS恶意软件。
iOS感染的历史
从历史上看,iOS从来没有完全摆脱过恶意软件,但它大多局限于以下两种情况之一:要么你破解了你的设备,通过入侵来移除安全限制,并因此安装了恶意软件,要么你成为了某个民族国家对手的目标。后者的一个经典例子是艾哈迈德·曼苏尔的案子在该事件中,他被一条短信锁定,试图用NSO的恶意软件感染他的手机,该恶意软件现在被称为三叉戟。
感染iPhone的困难是它需要某种零天脆弱性(即,安全社区在发布时未知),这些漏洞可在开放市场上价值100万美元或以上。像Zerodium这样的公司将购买它们,但普遍使用此类漏洞“烧毁”它们,使苹果将更有可能了解他们的存在并应用修复。
这正是Trident Case中发生的事情 - 一个笨拙的短信给已经警惕的新闻工作者导致了三个单独的百万美元漏洞被发现和修补。
因此,iPhone恶意软件感染总是被视为不影响普通人的问题。毕竟,谁将燃烧100万美元或以上的人来感染个人,除非增益大于潜在的成本?当然,从来没有任何担保,啤酒的调查结果已经越来越复杂的智慧。
感染机制
据啤酒说,有问题的网站“正在用于对他们的访客的不分青红皂白水攻击”,“在IOS中使用14种不同的漏洞,它们组合成五种不同的攻击链。
攻击链是一系列两种或更多种脆弱性,可以一起使用以实现特定目标,通常是对目标系统的感染。在这种情况下,单独的漏洞之一不足以实现目标,而是组合两个或更多可以使其成为可能。
在使用的漏洞中,只有两个人在发现时仍然是零天(CVE-2019-7286和CVE-2019-7287)。这些由Apple固定在IOS 12.1.4 2月7日中。剩下的12剩余12个不是零天时,这意味着他们已经知道,他们已经被苹果修补了。各种攻击链能够通过iOS 12.1.3传染运行iOS 10的设备。
对于技术思想,啤酒包括每个攻击链的优秀,高度详细的描述。然而,重要的是,这些攻击链中的每一个都设计用于在设备上缩小相同的植入物,并且我们将专注于这里的植入物(iPhone恶意软件)。
iPhone恶意软件/植入行为
这款尚未命名的iPhone恶意软件能够逃脱iOS的沙箱,以根用户身份运行,这基本上意味着它已经绕过了iOS的安全机制,拥有最高级别的特权。
植入物在普通的普通的硬编码IP地址上与命令和控制(C&C)服务器进行通信,未加密的HTTP。除了将数据上传到服务器外,还可以从服务器接收多个命令。
SystemMail:从默认Mail.App设备上传电子邮件上传Notes.App Applist:上传已安装的非Apple Apps keychain:上传密码和存储在keychain录制中的证书:上传使用内置语音备忘录App MsgAtcach:上传SMS和IMEsessage附件PriorApps:如果已安装(AppProorlists),请从硬编码列表中载从硬编码列表(AppProorlists)照片:上传照片来自Camera Roll AllApp:上传所有Apps应用程序的容器目录:通过Bundle ID DL上传特定应用程序的容器目录:未实现的镜头:未实现的直播:未实现此命令列表显示了一种可怕的功能列表。除此之外,iPhone恶意软件是否能够窃取所有钥匙扣,照片,短信,电子邮件,联系人,备注和录制。它还可以检索完整的呼叫历史记录,并且能够进行设备位置的实时监控。
它还包括从许多主要端到端获取未加密的聊天记录的能力加密消息客户端,包括消息,whatsapp和电报。让那个沉没一分钟。如果您感染了,您的所有加密消息不仅由攻击者收集,而且它们在互联网上的清晰文本中传输。
如何删除iPhone恶意软件?
坏消息是,我们尚不知道哪些网站受到影响,因此不可能知道可能已经感染了这款神秘的iPhone恶意软件。这在意识到这一问题的人之间导致了大量的恐惧。
幸运的是,在这一点上没有必要恐慌。这些漏洞已经被修补了很长一段时间。此外,植入物实际上无法在重启后剩余持久性。这意味着随时重新启动受感染的iPhone - 例如安装IOS更新时,例如 - 拆除植入物。(当然,可以始终通过访问受影响的网站来重新感染易受攻击的设备。)
因此,运行iOS 12.1.4的任何设备不仅对这些特定攻击的免疫,而且由于安装12.1.4(或更高版本)时,它不会被重新启动,因此不能再感染。除非他们,否则任何人都不太可能感染任何人绝不更新或重新启动手机。如果您担心您可能会被感染,只需安装最新的iOS更新,即将重新启动手机并删除恶意软件(如果存在)。
如果你怀疑你的手机可能被感染了,似乎有一个简单的测试来看看它是否被感染,但你必须在重启之前这样做,因为恶意软件需要处于激活状态。(免责声明:在没有植入物拷贝的情况下,我无法亲自验证这一点,也无法找到其他能够这样做的人。)
首先,通过闪电(或在iPad Pro,USB-C)电缆的情况下将受影响的设备连接到MAC。
接下来,在Mac上打开控制台应用程序,该应用程序在“应用程序文件夹的实用程序文件夹中”找到。
在控制台中,在设备列表中找到手机并选择它。
此时,您将看到IOS设备中的日志消息在右侧窗格中开始滚动过去。虽然控制台将不会向您展示过去的消息,但如果您在60秒或更短的时间内监视,则应生成包含某些短语的消息,例如“UploadDevice”,“PostFile成功”和“Timer Trig”。可以找到要查找的可能串的完整列表啤酒的拆除植入物;代码显示一个nslog命令的任何地方,它表示将在日志中回应的消息。
谁受到影响?
此时,不可能知道谁负责,或者被感染,没有更多的信息,例如遭到损害的网站的名称。
啤酒的文章始于说恶意软件没有针对特定的人:
这些被黑的网站被用来对他们的访问者进行不分青红皂白的水坑攻击,使用的是iPhone 0-day。
没有目标歧视;只需访问Hacked网站就足够了,可以攻击您的设备,如果成功,则安装监控植入物。
伊恩啤酒,https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
这让事情有点开放解释。似乎恶意软件似乎没有针对个人。但是,这并不一定意味着它没有目标。
举个例子,在浇水孔攻击在最近对Coinbase和其他加密货币公司的攻击中使用,使用Firefox零天,许多人访问了包含漏洞利用的页面。但是,只有少数少数是由恶意脚本选择的少数人被感染。
显然,在这种情况下,这种靶向没有发生。但是,这并不一定意味着攻击没有针对特定的目标集团那些可能会访问被劫掠网站的人。事实上,这是浇灌孔攻击的典型模式操作数:可能由目标组可能访问的站点受到损害并用于传播恶意软件。这是在2013年发生的,当攻击者损害了一个基于Java的开发商的开发人员网站,感染了许多主要公司,包括苹果公司的开发人员,其中osx.pintsized恶意软件。
靠近文章的末尾,它说:
现实仍然认为,如果您正在目标,安全保护将永远不会消除攻击的风险。有针对性可能意味着只是出生在某个地理区域或成为某个族群的一部分。
伊恩啤酒,https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
有些人被解释为这一点,即某些地区或族群中的人们所针对的是这种攻击的暗示,但我的阅读是,这只是关于某人在更大的背景下“有针对性”这意味着什么的一般建议讨论有针对性的与未确定恶意软件。
我的个人意见 - 这可能是非常错误的 - 这可能是对特定一群人的有针对性的攻击,并且很可能是一个国家的工作。浇水孔攻击等技术,Microsoft Word文档中的有针对性的有效载荷,有针对性的电子邮件活动,恶意附件中国经常被中国对抗Uyghur人员使用。
我不打算暗示中国是罪魁祸首,因为目前可用的信息无法了解。这仅仅是指出这可能是使用类似技术的国家的类似事件的示例。然后,它也可能不是。有望告诉我的时间。
手机恶意软件的影响
虽然这种特殊事件的威胁已通过,但这是一个令人眼花新的启示。最终,没有什么能改变了。这种攻击始终是一种可能性;它刚刚没有发生。现在它有,人们不会以相同的方式看看iPhone。
我仍然认为iPhone是行星上最安全的手机(不计数晦涩或分类的设备,只有少数人实际拥有它们)。但是,总有漏洞,现在这种攻击可能会发生这种攻击,其他地方,反对当前版本的iOS。
值得注意的是,大多数这些漏洞在发现时实际上并不是零天。许多人从未更新其设备,因此,零天并不总是必要的。始终建议更新到最新版本的IOS,并将保护其所有攻击链,只有一个攻击链,最高可达2月7日,以及所有这些都会受到保护。
iOS的极其封闭的本性意味着当恶意软件像这样堆积时,人们就无法判断他们的设备是否被感染。如果此恶意软件能够剩余持久性,并且如果它没有将字符串泄漏到日志中,则最困难识别iPhone是否被感染,这将导致危险情况。
虽然苹果不允许在iOS上安装杀毒软件,但用户确实需要一些方法来检查他们的设备是否存在已知的威胁。也许是一些通过电线连接到可信机器的解锁设备?如果真有这种可能,这次袭击可能不会在两年内都没被发现。
提示,提示,苹果!
评论