零点击，Google披露黑掉iPhone手机的Exp

Google Project Zero的研究人员Ian Beer周二披露了一个严重“可蠕虫化的”iOS漏洞的技术详情，远程攻击者可利用该漏洞通过Wi-Fi接管附近的任意设备。

该名研究人员用了六个月的时间设计了一个零点击exp以触发该漏洞（CVE-2020-3843）。

Beer表示，他利用一个“可蠕虫化的”无线电近距exp完全控制了周围的任意iPhone，进而查看所有的照片、读取所有的电子邮件、拷贝所有的私人消息，以及实时监控手机周边发生的事情。

关于CVE-2020-3843漏洞

CVE-2020-3843是个双重释放漏洞。Apple在5月份为iOS 13.5和macOS Catalina 10.15.5发布了一系列更新，其中包括该漏洞的补丁。

根据Apple发布的安全公告，远程攻击者可利用该漏洞造成系统意外终止或损坏内核内存。

CVE-2020-3843漏洞与一个非常小的缓冲区溢出编程错误有关，该错误存在于与Apple无线直连（Apple Wireless Direct Link, AWDL）协议关联的Wi-Fi驱动程序中。具体而言，内核C++代码中存在一个相当小的缓冲区溢出编程错误，它解析不受信任的数据，该错误被暴露给了远程攻击者。

AWDL是一种Apple专有的mesh网络协议，用于使Apple设备之间的通信更加容易。

如何实现攻击

该名研究人员使用一部iPhone 11 Pro、一个树莓派，和两个不同的Wi-Fi适配器构建了一个测试环境，利用该环境中演示了该exp。

事实上，整个exp只使用一个内存损坏漏洞就入侵了该旗舰版iPhone 11 Pro手机。仅仅利用该漏洞，Beer就能使所有的缓解措施失效，从而实现远程执行代码和获取内核内存的读写权限。

出于测试目的，该名研究人员修改了StackOverflow网站上一个关于如何创建iPhone联系人的脚本的回答，使用修改后的脚本生成100个随机联系人，每个联系人包含4个联系人标识符（家庭和工作电子邮件、家庭和工作电话号码）。

Beer通过从设备中存储的100个联系人列表中暴力破解联系人的哈希值，攻击AirDrop BTLE框架，以启用AWDL接口，然后触发该缓冲区溢出漏洞，获得对设备的访问权限，并以root用户身份运行植入的恶意代码，实现对该移动设备的完全控制。

Beer表示，他还没有发现该漏洞遭到在野利用，但他同时指出已有漏洞利用程序提供商注意到了这些漏洞补丁。

-------------------------------------------------------------------------------------------------------------

综合来源：Security Affairs

Google Project Zero

Apple
综合编译：猫冬