破解斷電的iPhone:漏洞永不沉寂

破解斷電的iPhone:漏洞永不沉寂

設備在關閉時會被駭客入侵嗎?最近的研究表明,情況確實如此。讓我們看看這是如何實現的。

來自德國達姆施塔特大學安全移動網路實驗室的研究人員發表了一篇論文,描述了一種破解iPhone的理論方法——即使設備已關閉。該研究檢查了無線模組的操作,找到了分析藍牙固件的方法,從而引入了能夠完全獨立於設備操作系統iOS運行的惡意軟體。

 

只要有一點想像力,就不難想像攻擊者將受感染的手機靠近受害者的設備並傳輸惡意軟體,然後竊取支付卡資訊甚至虛擬車鑰匙的場景。

 

它之所以需要任何想像力,是因為該論文的作者實際上並沒有證明這一點,阻止了實際攻擊實現的一步,在該實現中,一些真正有用的討厭的東西被載入到智能手機中。儘管如此,即使沒有這個,研究人員也做了很多工作來分析手機的未記錄功能,對其藍牙固件進行逆向工程,併為使用無線模組的各種場景建模。

那麼,如果攻擊沒有發揮作用,那麼這篇文章是關於什麼的呢?我們將解釋,別擔心,但首先要說的是:如果設備斷電,但與它的交互(例如駭客攻擊)仍然有可能,那麼猜猜看 – 它不是完全關閉的!

 

我們是如何達到關閉某些東西並不一定意味著它實際上已經關閉的地步?讓我們從頭開始…

 

蘋果的低功耗模式

2021年,Apple宣佈,用於定位丟失設備的“查找我的”服務現在即使設備關閉,也可以正常工作。自iPhone 11以來,所有Apple智能手機都提供了此改進。

例如,如果您丟失了手機的某個地方,並且電池在一段時間後耗盡,它不會完全關閉,而是切換到低功耗模式,其中只有一組非常有限的模組保持活動狀態。這些主要是藍牙和超寬頻(UWB)無線模組,以及NFC。還有所謂的Secure Element-一種安全晶片,可以存儲您最寶貴的秘密,例如用於非接觸式支付或車鑰匙的信用卡詳細資訊 – 這是自2020年以來為有限數量的車輛提供的最新功能。

低功耗模式下的藍牙用於數據傳輸,而UWB – 用於確定智能手機的位置。在低功耗模式下,智慧手機會發出有關自身的資訊,路人的iPhone可以拾取這些資訊。如果丟失手機的所有者在線登錄其Apple帳戶並將手機標記為丟失,則來自周圍智慧手機的資訊將用於確定設備的下落。有關其工作原理的詳細資訊,請參閱我們最近關於AirTag跟蹤的帖子

這一消息很快引發了資訊安全專家對潛在安全風險迷宮的激烈討論。來自德國的研究小組決定在實踐中測試可能的攻擊場景。

關閉手機電源時,用戶現在會看到“iPhone 在關機後仍可查找”消息。

 

斷電後查找『Find My 』

首先,研究人員在低功耗模式下對Find My服務進行了詳細分析,並發現了一些以前未知的特徵。關機后,大部分工作由藍牙模組處理,藍牙模組由一組iOS命令重新載入和配置。然後,它定期通過無線方式發送數據包,允許其他設備檢測未真正關閉的iPhone。

事實證明,此模式的持續時間是有限的:在版本iOS 15.3中,只有96個廣播會話設置為15分鐘的間隔。也就是說,丟失並關閉電源的iPhone只需24小時即可找到。如果手機由於電池電量低而斷電,則視窗更短 – 大約五個小時。這可以被認為是該功能的一個怪癖,但也發現了一個真正的錯誤:有時當手機關閉時,“信標”模式根本沒有啟動,儘管它應該是。

這裡最有趣的是藍牙模組在斷電前重新程式設計;也就是說,它的功能從根本上發生了變化。但是,如果它可以重新程式設計而損害擁有者呢?

 

對已關閉電源的手機的攻擊

 

事實上,該團隊的主要發現是藍牙模組的固件未加密,不受安全啟動技術的保護。安全啟動涉及在啟動時對程式代碼進行多階段驗證,以便只能運行設備製造商授權的固件。

缺乏加密允許分析固件和搜索漏洞,這些漏洞以後可用於攻擊。但是,缺少安全啟動允許攻擊者走得更遠,用自己的代碼完全替換製造商的代碼,然後藍牙模塊執行。為了進行比較,對iPhone的UWB模組固件的分析顯示,它受到安全啟動的保護,儘管固件也沒有加密。

當然,這還不足以進行嚴肅而實際的攻擊。為此,攻擊者需要分析固件,嘗試用自己製作的東西替換它,並尋找闖入的方法。該論文的作者詳細描述了攻擊的理論模型,但實際上並沒有證明iPhone可以通過藍牙,NFC或UWB進行駭客攻擊。從他們的發現中可以清楚地看出,如果這些模組始終處於打開狀態,則漏洞也始終有效。

蘋果對這項研究不以為然,並拒絕回應。然而,這本身並不能說明什麼:即使在威脅嚴重的情況下,該公司也小心翼翼地保持撲克面孔,並在實踐中被證明是如此。

請記住,蘋果公司不遺餘力地保守其秘密:研究人員必須使用定製的第三方模組處理蘋果自己的硬體上通常加密的封閉軟體代碼。智慧手機是一個龐大而複雜的系統,很難弄清楚,特別是如果製造商阻礙而不是説明。

沒有人會把團隊的發現描述為令人歎為觀止,但它們是許多艱苦工作的結果。這篇論文的優點是質疑關閉手機電源但保持某些模組處於活動狀態的安全策略。這些懷疑被證明是有道理的。

 

半斷電設備

本文的結論是,藍牙固件沒有得到充分的保護。從理論上講,可以在iOS中對其進行修改,也可以通過擴展或更改其功能來重新程式設計相同的低功耗模式。還可以檢查 UWB 固件是否存在漏洞。然而,主要問題是這些無線模組(以及NFC)直接與受保護的安全區(安全元件)通信。這給我們帶來了一些論文最令人興奮的結論:

從理論上講,有可能從iPhone上竊取虛擬車鑰匙 – 即使設備已關閉電源!顯然,如果iPhone是汽車鑰匙,丟失設備可能意味著丟失汽車。但是,在這種情況下,當鑰匙被盜時,實際的手機仍由您擁有。想像一下:一個入侵者在商場接近你,把他們的手機刷在你的包上,偷走你的虛擬鑰匙。

理論上可以修改藍牙模塊發送的數據,例如,使用智慧手機監視受害者 – 再次,即使手機已關閉電源。

從手機中竊取支付卡資訊是另一種理論上的可能性。

當然,所有這些仍然有待證明。來自德國的團隊的工作再次表明,添加新功能會帶來一些必須考慮的安全風險。特別是當現實與感知如此不同時:你認為你的手機完全關閉了,而實際上並非如此。

這不是一個全新的問題,介意。英特爾管理引擎和 AMD 安全技術還處理系統保護和安全遠端管理,每當便攜式電腦或桌上型電腦的主機板連接到電源時,它們都會處於活動狀態。與iPhone中的藍牙/ UWB / NFC / Secure Element捆綁包一樣,這些系統在計算機內部擁有廣泛的許可權,其中的漏洞可能非常危險。

從好的方面來說,這篇論文對普通用戶沒有直接影響:在研究中獲得的數據不足以進行實際攻擊。作為一個可靠的解決方案,作者建議蘋果應該實現硬體開關。

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: