当前位置:主页 > SEO优化 >

iPhone 存高危漏洞秒变木马幕后间谍公司惨遭曝光

作者: 采集侠 分类: SEO优化 发布时间: 2019-08-16 15:28 阅读量:

  网页中的数行 JavaScrip 代码就能破解你的 iPhone?这不是传说,以色列的一家间谍软件公司在至少在去年初就发现了这个漏洞,之后开发成监控软件卖给中东的情报机构。其主要通过短信传播。只要点击了短信中附带的网址,几分钟内iPhone 自动越狱,获取最高权限并悄悄安装病毒软件,你的手机就是潜伏在口袋里的木马。

  Ahmed Mansoor 是中东地区的一名社会活动家,曾在 2011 年因敏感活动没处以收财产、禁止出国以及 8 年刑期,之后又被赦免,从此以后就是官方密切关注的对象。

  8 月 10 号清早,他的 iPhone 6(iOS 9.3.3)手机收到一条告密短信,说阿联酋监狱内的政治犯遭受严刑拷打,点击下面的链接就能看到绝密细节。Mansoor 没有理会,只不过短信发送者似乎很焦急,第二天又发送了一条相似的。

  Mansoor有前车之鉴 吃过亏,这几年对不明来源的网址都异常小心。这次他没有点击,而是转发给了公民实验室(citizen lab)的研究员。

  公民实验室之前就了解到 iPhone 存在可远程越狱的 Zero Day 漏洞,只不过未曾拿到有效的样本。这次终于抓了只活的。为了能彻底弄清病毒原理,公民实验室联系了另一家安全公司 Lookout 共同研究。

  他们找来一部同样运行 iOS 9.3.3 系统的 iPhone 5,在自带的浏览器中输入可疑链接,通过检测浏览器数据包,成功监测到注入原理。

  他们发现整个注入过程分为三个步骤。当苹果内置的浏览器 Safari 打开此链接,会立即加载经过混淆了的 JavaScript 代码,这段代码首先会收集用户设备信息回传给远程服务器,这是第一步。

  如果是 iPhone 5 及早期设备,JavaScript 代码会通过 XMLHttpRequest 的方式,从远程服务器下载 32 位二进制文件,如果是 iPhone 5S 及更新的设备,便下载 64 位二进制文件,这是第二步。

  由于 Safari 浏览器采用的 WebKit 内核,攻击者找到了 WebKit 的内存破坏漏洞,通过这个漏洞,就能让 Javascript 下载的二进制文件得以执行。二进制文件会执行一个函数,该函数可以破解掉苹果的内核保护机制,返回内核运行的真实地址,解开隐藏的运行地址之后,就可以实现越狱,关闭软件签名等保护措施,让这台 iPhone 可以运行任意程序。

  第三步便是间谍软件安装,在这个例子中,间谍软件被打包为 test111.tar,Safari 浏览器会下载此压缩包到 iPhone,然后执行安装。

  至此,木马注入流程全部结束,攻击者现在就可以远程启动麦克风,打开摄像头,记录读取通话短信数据、记录行动轨迹,甚至监听邮箱、微信等 App 的内部数据。

  在第二步,研究员侦测到 JavaScript 向远程服务器发出信标,同时截获收到的二进制文件,其中有一段密文,解码后发现是这么一段字符:

  看起来就像 Google 的两步安全验证,但其实只是表面的伪装。攻击者 竟然连 Google 验证码的位数都弄错了。

  利用网址钓鱼在访客设备上安装木马,尤其针对异见人士,这让研究员联想起 2015 年的一次钓鱼事件。英国记者 Rori Donaghy 常年在中东地区活动,9 月份收到一封邮件,邀请他成为某组织成员,附在其后的短网址看起来非常陌生,邮件转交给公民实验室的研究员,经过跟踪果然发现这个链接有猫腻,在转向真实网址之前会加载木马程序。

iPhone 存高危漏洞秒变木马幕后间谍公司惨遭曝光

  在针对 Donaghy 的钓事件中,研究员确认了该木马的幕后服务器域名同时还找到域名登记邮箱 ,继续检索相同邮箱的关联域名,发现有以下三个:

  这三个网站域名类似,并且都没有实质性内容,而是用内嵌的方式嵌入正规网站 asrararabiya.com 的内容,注意这个网站域名和上面三个有细微差别。其代码是这样的:

  此时又发现一个新的网址研究员利用域名 IP 对应数据库,以及专用的网络检索工具如 Shodan、Censys 和 zmap,发现了 237 个存在关联的 IP,提取 SSL 证书还发现,Mansoor 所收到的 iPhone 漏洞钓鱼连接网址也在其中,包括 webadv.co、manoraonline.net,以及

  同时,实验室研究员还分析了这些仿冒域名所面向的国家,发现墨西哥最多,其次是阿联酋,以及其他中东和非洲国家,如土耳其,以色列,泰国,卡塔尔,肯尼亚,乌兹别克斯坦,莫桑比克,摩洛哥,也门,匈牙利,沙乌地阿拉伯,尼日利亚,巴林。

  这些针对个人电脑,以及针对 iPhone 的钓鱼网站,其所有的 ip 之间都存在关联性,并且技术精湛而且手法相似度很高,研究员越来越怀疑,这幕后团队很有可能是同一伙人。

  由于大部分关联域名都设置了隐私保护,IP 地址也可能是多人共用如 VPS,所以要找到真正的主谋并不容易。


本文链接地址:http://www.seohuizhou.com/seoyouhua/1524.html
上一篇:<<2015年中国残疾人事业发展统计公报
下一篇:离开互联网公司的日子:当程序员不如送外卖?>>