iOS的3個零日漏洞如何發現?像看瞭部大片

《名利場》最近刊文介紹瞭零日漏洞及其背後的黑市交易(主要賣給政府)、介紹這些漏洞如何被用於進行間諜活動,以及這整個“行業”是如何形成的。

其實說到零日漏洞,相信大部分 iOS 設備用戶應該都不陌生,因為就在今年 8 月份曾有智能手機安全公司披露,蘋果的 iOS
操作系統存在3個安全漏洞,均屬於“零日漏洞”,會被一種復雜的間諜軟件利用對特定蘋果手機用戶發動持續攻擊。

蘋果iOS操作系統的3個關鍵安全漏洞被命名為“三叉戟”,它們屬於“零日漏洞”,即被黑客發現後立即被惡意利用的安全漏洞。“三叉戟”被一個名為“飛馬”的間諜軟件利用,所形成的攻擊鏈可以突破蘋果
iOS 操作系統強大的安全防護。不過後來蘋果公司很快就修復瞭這幾個漏洞。



恰好在《名利場》的這篇長文中也談到瞭蘋果公司僅用 10 天時間就修復瞭 iOS 系統 3 個零日漏洞的事情。有興趣的用戶可以瞭解一下。

“2010 年真正屬於零日漏洞的黑市開始出現瞭。而它發展的轉折點是在法國一傢名為 Vugen
的公司開始給發現零日漏洞的人提供獎勵之後,據稱這傢公司的獎勵最高為 25 萬美元。Vugen
堅稱他們的目的是保證軟件的安全,即使外界一直質疑,他們的目的是否真的是這麼高尚。後來惠普和微軟等公司也應聲而動,也公佈瞭他們的零日漏洞獎勵機制。雖然這些科技公司的獎勵都沒有
Vugen 等公司的高,但至少能讓白帽黑客不至於昧著自己的良心去賺錢。而且作為一名曾經的黑客,他們最後可能還會獲得價格不菲的顧問合同。”

而在 iOS 系統中發現零日漏洞的其實是博士生 Bill Marczak 和 Lookout 的研究員們(南加州大學成立於 2007
年)。他們是從去年就開始進行瞭這方面的研究。

艾哈邁德·曼蘇爾(Ahmed Mansoor)是阿聯酋的活動傢,他收到瞭一些奇怪的短信後,就把它們交給瞭人權和技術組織公民實驗室(Citizen
Lab)。短信中包含一些可疑的鏈接,公民實驗室和安全公司 Lookout
對這些鏈接進行瞭分析,發現它們可以傳輸一個精心制作的數據包,目的是徹底控制曼蘇爾的電話,監視他的電話、電郵、短信往來和聯系人列表。

所以他們開始進行瞭測試。起初他們是先在程序中發現瞭兩個零日漏洞。一個程序中有兩個零日漏洞,這是前所未有的事情。研究人員認為這可能是遠程越獄。但是在能獲取和分析第三階段的代碼之前,他們無法對此加以證明。因此
Marczak 決定再試一次。

(註:很多間諜軟件程序是分三個階段來完成任務的。第一個階段是入侵用戶的設備。第二階段讓設備進入被監控狀態;結束之後,它會連接服務器去傳送真正的間諜軟件。間諜軟件傳送和設置是第三階段。)

他們使用的設備是運行 iOS 9.3.3 系統的 iPhone 5。他與好友 Weaver
一起測試。首先要設置一個無線接入點,其實就是他自己的迷你網絡,其中有危險代碼的話就更好,然後他通過 Wi-Fi 將筆記和 iPhone
連接到一起,這樣可以在電腦屏幕上看是否有代碼秘密入侵手機。最後他設置瞭 VPN,這樣 iPhone 就好像是收到瞭從阿拉伯聯合酋長國打來的電話。

一切設置完畢,Marczak 將鏈接復制粘貼到瞭 iPhone 的 Safari 中,並打開鏈接。網頁很快就打開瞭,但是 10
秒之後又自動關閉。這樣的情況對於 Marczak 來說是再熟悉不過的,他見過很多間諜軟件瞬間打開關閉 Safari
的情況,這通常意味著惡意程序使用未被發現的漏洞去攻擊手機。幾秒鐘之後他反應過來,Safari
中的這個情況意味著:如果外部代碼能夠進入內核,那麼他就可以親眼見證遠程越獄。

就在他覺得不可能的時候,彩色的電腦代碼突然快速出現在屏幕上,外部代碼已經侵入手機瞭。“手機瞬間安靜下來,可是筆記本卻好像瘋瞭樣。”如果第一階段是
Safari 的漏洞,那麼新的代碼就是第二階段。這些代碼正在嘗試進行遠程越獄。這些都是一閃而過的事情。接下來他和 Weaver
就看著筆記本,因為外部代碼正在侵入手機的內核。屏幕上閃動的代碼停下來瞭,代碼完畢接著是嘗試與主機建立連接,而這所謂的主機其實就是阿聯酋政府控制的電腦服務器。但是出於某些原因,手機沒有建立連接,請求沒有得到回復。隨後設備又繼續嘗試建立連接,直到第六次服務器才應答,連接建立瞭。

筆記本的屏幕上閃電般的代碼掃過,這些代碼直接從主機傳達到手機內核。這是真正的間諜軟件,如果說這些代碼是入侵地球的外星人,那麼間諜軟件就是運載他們的飛船。

Marczak 和 Weaver 從未見過這樣的情景,震驚地看著遠程越獄發生瞭,後來 Marczak
覺得再這樣下去他們就危險瞭。因為如果間諜軟件真的將信息發送回主機,那麼其中將會包括手機真正的GPS,這樣他們就暴露瞭。

他們很快決定關掉所有設備,因此在判定整個第三階段加載完畢之後,Marczak
把手機和筆記本之間的連接斷開,關掉手機,放在一個金屬抽屜裡。特殊情況下需要“隔離”硬件時他們就會啟用這個抽屜。至此所有與主機的聯系被切斷。

然後兩個年輕人坐在那裡,笑的像個小孩,接著是歡樂的 high five。

整個周末整個 Lookout
小組不舍晝夜地研究他們發現的這個“怪物”。他們在第二階段發現瞭第三個零日漏洞,也就此發現瞭迄今為止發現的最成熟的間諜軟件。其中的一些證據讓他們懷疑這與以色列間諜軟件公司
NSO 相關,他們認為很有可能是這件公司的監控軟件 Pegasus。這種間諜軟件非常成熟。通常情況間諜軟件很耗電,但是這款間諜軟件則能夠等到用戶連接 Wi-Fi
之後再發送大量的信息,避免耗電。他們此前從未見過這樣的間諜軟件。

“當初在 iOS 系統中發現漏洞時,研究小組中有的人覺得應該馬上通知蘋果,而也有人覺得再等等,等他們研究瞭解全部相關的東西之後再通知。但是 iPhone
用戶承擔的風險實在太瞭,因此他們最終決定給蘋果電話,而蘋果方面給他們的回應則讓他們有點哭笑不得。研究小組告訴蘋果他們可以遠程越獄,然後對方回答大概就是,‘是是是,我們之前也見過這種情況——把你們手頭的東西都發給我們吧。’研究小組照做瞭,幾個小時之後蘋果回電瞭,然後非常嚴肅地說:‘好的,把你們手頭所有的東西都發過來吧。’”

“這通電話之後,蘋果公司竟然在 10 天之內就修復瞭 3
個零日漏洞,很多與這件事相關的人都覺得這堪稱工程壯舉。蘋果方面發言人拒絕就此發表評論,但是矽谷一名與蘋果合作密切的安全顧問表示,‘蘋果以前也沒有見過這樣的漏洞——從未見過。這是一種非常成熟的國傢級的攻擊,從范圍上來說它是驚人的。可以說蘋果能在這麼短的時間內修復瞭這些漏洞,他們是付出瞭巨大的努力。這些漏洞要是不能早日修復,勢必招致重大的麻煩。’”

雖然蘋果此舉很振奮人心,但不得不說蘋果和其他科技公司現在是在打一場毫無成功希望的鬥爭。隻要這個世界還有黑客存在,那麼這些科技公司就必須尋找更多辦法去保護他們的設備。

A.C.L.U.’s Chris Soghoian 說:“其實這些網絡武
器分銷商所做的事情就是讓數字監控民主化。曾經隻有大型政府部門才會使用這些監控工具,可是如今隻要有錢,誰都能用。”說不定哪天它們就會出現在你的iPhone上。

NSO 有多神秘?

Lookout 的資料顯示,NSO 成立於 2010 年,專門為用戶提供移動設備攻擊工具。其創始人為尼弗·卡米(Niv Carmi)、沙萊夫·胡裡歐
(Shalev Hulio)和歐米·拉維(Omri Lavie)。他們在 2014 年把公司出售給 Francisco Partners,獲得瞭 1.1
億美元,但至今三人仍然在積極參與該公司的業務活動。NSO 把旗下的產品銷售給政府客戶,比如巴拿馬和墨西哥。當然現在已經很明顯,他們的客戶還包括阿聯酋。

NSO 否認他們把這些攻擊工具出售給瞭非法使用者,而且試圖和人權活動傢曼蘇爾遭遇的事情撇清關系。NSO
發表聲明說:“所有客戶都簽署瞭協議,承諾以合法方式使用本公司產品。具體來說,隻能用這些產品來預防和偵查犯罪活動。本公司對此事毫不知情,因此也無法予以確認。”

除瞭 Pegasus,該公司可能還提供 Android 和黑莓版本的類似攻擊工具,據 Lookout 估計,這個 iOS
攻擊工具大概兩年之前就在開始銷售瞭。該公司刻意保持低調,在網絡上的存在感非常之低,並沒有自己的網站。

Comments are closed.