iPhone關(guān)機(jī)仍可被攻擊引熱議，蘋果安卓用戶一整個無語住了

金磊 發(fā)自 凹非寺

量子位 | 公眾號 QbitAI

關(guān)機(jī)的iPhone，它就安全了嗎？

最近一項來自德國達(dá)姆施塔特工業(yè)大學(xué)的研究，便直接回答了這個問題：

惡意軟件，仍然可以正常運(yùn)行。

研究的名字也是非常應(yīng)景——Evil Never Sleep（邪惡永不眠）。

而如此bug的源頭，就在于iPhone的無線芯片，也就是實現(xiàn)蘋果Find My等功能的關(guān)鍵。

據(jù)了解，它們并沒有配備數(shù)字簽名機(jī)制（一種安全機(jī)制），甚至沒有對運(yùn)行的固件進(jìn)行加密。

于是乎，這也就成了研究人員的突破口：

首次在低功耗模式（LPM）下，研究iPhone無線芯片存在的安全隱患。

設(shè)計了一款惡意軟件，在iPhone關(guān)機(jī)狀態(tài)下仍可以運(yùn)行。

這項研究將發(fā)表在國際無線安全研究領(lǐng)域頂會ACM WiSec。

但畢竟這事與許多iPhone用戶息息相關(guān)，話題一出便引發(fā)了不少的熱議：

如何攻擊關(guān)機(jī)的iPhone？

這項研究是在iPhone處于LPM模式下進(jìn)行的。

LPM模式并不是手機(jī)電量低時，“黃色電池圖標(biāo)”所表示的節(jié)能模式。

它是在用戶把手機(jī)關(guān)機(jī)或者電量不足iOS系統(tǒng)自動關(guān)機(jī)時，才會被激活的一種模式。

而在iPhone關(guān)機(jī)后，雖然所有的iOS軟件無法使用，但像Find My、蘋果錢包（NFC刷卡）和汽車鑰匙等功能還是可以正常運(yùn)行。

這是因為LPM模式的支持，是在硬件層面上實現(xiàn)的。正如微博博主“好大的奕”所述：

像Find My功能，便是通過Always-on Processor（AOP）處理器實現(xiàn)。

Always-on Processor在iPhone當(dāng)中，可以控制相當(dāng)一部分IC的電源，只要IC能夠有電源，那么就會有相應(yīng)的動作。

而也正因LPM是在硬件中實現(xiàn)，所以顧名思義，我們無法通過更改軟件組件的方式來刪除它。

“這便構(gòu)成了一種新的威脅”，研究人員表示。

具體而言，這項研究逆向工程了多個無線daemon和固件組件，來分析了攻擊關(guān)機(jī)iPhone的可能性。

（daemon是一段連續(xù)運(yùn)行的程序，用于處理計算機(jī)系統(tǒng)希望接收到的階段性的服務(wù)需求。）

例如在使用Find My等功能時，防止固件篡改是iPhone一個重要的安全屏障。

像iOS 可以使用供應(yīng)商特定的HCI命令寫到可執(zhí)行RAM區(qū)域。這是一個應(yīng)用.hcd文件所需的傳統(tǒng)功能，在iPhone 13藍(lán)牙芯片中仍然存在。

該芯片在運(yùn)行期間，通過一個禁用HCI命令的補(bǔ)丁來保護(hù)自己不被修改。

然而，團(tuán)隊通過研究卻發(fā)現(xiàn)，這個補(bǔ)丁是可以被修改的：

并且被修改的補(bǔ)丁，在多款iPhone上都能正常運(yùn)行：

除此之外，研究人員還采用了一種逆向工程，確保了結(jié)果的可重復(fù)性。

對此，研究人員認(rèn)為蘋果LPM特性的設(shè)計似乎主要是由功能驅(qū)動的，沒有考慮預(yù)期應(yīng)用程序之外的威脅。

鑒于藍(lán)牙固件可以被操縱，這會將SE接口暴露給iOS：

蘋果應(yīng)該增加一個基于硬件的開關(guān)來斷開電池的連接。

最后，研究人員還提到，蘋果工程師在這項研究發(fā)表之前已經(jīng)審閱過了，但沒有針對內(nèi)容提供任何反饋。

研究引發(fā)爭議

雖然這項研究揭露了iPhone存在的一大漏洞，但研究中的一句話卻引發(fā)了網(wǎng)友們的不少爭議——

“研究目前仍是理論性的?！?/strong>

許多網(wǎng)友認(rèn)為，即便是披露bug，也需要拿出一些“真實的缺點”：

然而，熱議的另一個焦點，很自然地落到了安卓頭上：

畢竟除了iPhone之外，像三星和華為等同樣也有這種功能的硬件存在。

正如“好大的奕”所說：

這種相當(dāng)于是為了能夠給用戶實現(xiàn)更多的方便而犧牲掉一小部分的隱私和安全性。

可取或者不可取，這只能說仁者見仁，智者見智吧。

研究團(tuán)隊介紹

這項研究來自德國達(dá)姆施塔特工業(yè)大學(xué)，安全移動網(wǎng)絡(luò)實驗室（Secure Mobile Networking Lab）。

論文Jiska Classen是實驗室的成員之一，目前是博士后，專注于無線安全和逆向工程領(lǐng)域。

Alexander Heinrich也是來自該實驗室的博士生。

他的研究聚焦于運(yùn)行在蘋果平臺上的無線協(xié)議安全和隱私。

其余兩位合著者Robert Reith和Matthias Hollick，也均來自該實驗室。

參考鏈接：

[1]https://arxiv.org/abs/2205.06114
[2]https://www.youtube.com/watch?v=KrqTHd5oqVw
[3]https://arstechnica.com/information-technology/2022/05/researchers-devise-iphone-malware-that-runs-even-when-device-is-turned-off/
[4]https://s.weibo.com/weibo?q=%23%E7%A0%94%E7%A9%B6%E7%A7%B0iPhone%E5%85%B3%E6%9C%BA%E5%90%8E%E4%BB%8D%E5%9C%A8%E8%BF%90%E8%A1%8C%23
[5]https://weibo.com/6198648442/LtsUR3zC0#comment
[6]https://www.seemoo.tu-darmstadt.de/team/jclassen/
[7]https://www.seemoo.tu-darmstadt.de/team/aheinrich/

版權(quán)所有，未經(jīng)授權(quán)不得以任何形式轉(zhuǎn)載及使用，違者必究。