iMessage是怎么成为“黑灰产的乐园”

FreeBuf 2024-04-03 18:13:42

垃圾/骚扰/色情/钓鱼短信已经成为苹果手机iMessage无法解决的难题。几乎每一位iPhone用户都曾收到过这类短信,被吐槽“每一个iPhone里都藏着一个澳门葡京赌场”。

对于这些垃圾短信,最好的办法就是别点开直接删除,上当/被骗的第一步就是从点开这些短信开始。

近期,上海警方在侦办电信诈骗案件过程中,发现有不少遭遇“冒充熟人、领导”类诈骗的被害人。诈骗分子通过iMessage功能群发短信,用户一旦回复,骗子便会继续通过iMessage功能进行对话,并利用“花式”理由进行诈骗。

根据警方公布的信息,很多苹果用户都收到过一条来自“领导”的短信,但其实是诈骗分子群发进行“钓鱼”。

亦或者是发iMessage短信,自称是某某人的老友,并借此与用户聊天,伺机以“帮忙办私事”,给所谓的领导转账打款,并以银行信息填写错误,未收到钱款为由要求其继续打款,以此进行诈骗。

更糟糕的是,目前苹果对于垃圾/色情短信泛滥拿不出一个好的解决办法。很多用户表示,在iPhone手机上短信过滤功能就是一个摆设,对于垃圾短信没有任何的屏蔽作用,于是iPhone上的iMessage功能,逐渐沦为了“黑灰产的乐园”。

iMessage功能的亮点也是槽点

虽然国内苹果手机上的iMessage功能使用率极低,不出意外的话,绝大多数苹果手机上的iMessage仅仅是用来接收短信验证码。

但iMessage功能在国外的热度非常高,但在国内却十分遭人嫌弃,使用频率低到令人发指。有不少用户甚至不清楚iMessage的功能,而简单地将之理解为短信。其实,iMessage是升级版的短信,或者说另外一种形式的微信。

苹果用户可以通过iMessage享受专属的网络通信服务,除了纯文本内容外,用户还可以发送图片、视频、链接等许多富媒体信息,并且这些服务都是免费的。数据显示,苹果公司在全球拥有15亿以上的用户,而iMessage全球用户的规模也迈过了10亿大关,充分表明该功能的受欢迎程度,也决定了 iMessage 是全球通讯软件中的佼佼者。

但问题来了,iMessage在设计上与微信等社交App存在明显的不同点,无需添加好友,只要有对方的手机号码或者Apple ID邮箱,你就可以直接向对方发送各种各样的内容(文本、图片、链接等)。

懂安全的人是不是已经发现了,该机制下的iMessage必定会存在一种安全问题——骚扰短信将会铺天盖地,各种以赌博、色情为噱头的钓鱼攻击将会无往不利,只需要搞到对方手机号,就可以轻松发起钓鱼攻击。至于怎么搞到手机号,在隐私信息满天飞的今天应该不是什么难事。

隐私策略反成为黑灰产的保护伞

iMessage的安全问题饱受用户吐槽,但这不意味着iMessage的隐私保护策略低级。事实上iMessage的安全保护相对来说十分高级,采用的是端对端加密算法,任何一条消息在离开发送者手机的那一刻,直到到达接受者手机的之前的所有过程,消息全程加密,安全性直接拉满,即便是苹果公司也只能看到被加密的文本信息。

2024年,苹果公司还为 iMessage 发布了新的加密协议——PQ3,号称是后量子时代的安全通讯协议。PQ3技术允许用户使用公钥改变端到端加密的算法,这样它们就可以在经典的非量子计算机上工作,但又能防止使用未来量子计算机的潜在黑灰产攻击。

PQ3协议将在iOS 17.4、iPadOS 17.4、macOS 14.4和watchOS 10.4中提供。过渡到新协议将是逐步进行的:首先,所有支持PQ3的设备上的用户对话将自动切换到该协议;然后在2024年晚些时候,苹果计划完全替换先前使用的端到端加密协议。

那么问题来了,如此严格的隐私保护策略给了黑灰产们极其宽广的操作空间。由于端到端的加密机制,黑灰产们的敏感内容同样被保护了起来,从而直接导致短信屏蔽功能失效。

这还真是一个令人感到讽刺的现象。iMessage为保障用户隐私,实施了端对端加密,哪怕是苹果也无法知晓中间的信息。一个往日替用户遮风挡雨的信息盾牌,现在反而成为骚扰短信的护身符。

iMessage喜提“史上最复杂的攻击链”称号

iMessage还曾被黑灰产用于复杂的网络攻击之中。

近日,卡巴斯基的研究人员发现了iPhone一个非常隐蔽的后门。通过这个硬件级别的后门,能直接获得iPhone最高级别的Root权限。而要成功利用这个后门,必须要对苹果产品最底层的机制有非常全面细致的了解。以至于发现这个漏洞的卡巴斯基研究人员称「无法想象这个漏洞是如何被意外发现的。」在他看来,除了苹果和ARM之外,几乎不可能有人能获知这个漏洞。

而间谍软件可以通过这个复杂的漏洞,将麦克风录音、照片、地理位置和其他敏感数据传输到攻击者控制的服务器。尽管重新启动就能关闭这个漏洞,但攻击者只需在设备重新启动后向设备发送新的恶意iMessage文本,就能重新开启这个漏洞。期间完全不需要用户进行操作,而且也不会留下任何蛛丝马迹,非常隐蔽。对此,OpenAI科学家Andrej Karpathy表示:这无疑是我们迄今为止所见过的攻击链中最为复杂的一个。

下面是卡巴斯基公布的完整的攻击链,包括用于获取受害者设备 root 权限的四个 0day 漏洞:

1. 攻击者向目标用户发送恶意 iMessage 附件,当受害者的 iPhone 收到消息时,iMessage 不会有任何提醒、同时自动处理该附件;

2. 这个恶意附件利用了未记录的、苹果独有的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990;

3. 恶意代码使用面向返回 / 跳转的编程和用 NSExpression/NSPredicate 查询语言编写的多个阶段,然后利用 JavaScriptCore 库环境执行权限提升;

4. 攻击者利用的 JavaScript 漏洞被混淆,这导致代码不可读,尽管如此研究人员发现攻击者大约使用了 11,000 行代码,主要用于 JavaScriptCore 和内存解析操作;

5. 攻击者利用 JavaScriptCore 调试功能 DollarVM ($vm) 来获得从脚本操作 JavaScriptCore 内存并执行本机 API 的能力;

6. 攻击者为了支持新旧 iPhone,所以还做了一个包含指针身份验证代码的绕过功能,可以用在最新款 iPhone 上;

7. 攻击者利用 XNU 内存映射系统中的整数溢出漏洞 CVE-2023-32434 来获取用户级别对设备整个物理内存读 / 写的访问权限;

8. 攻击者使用硬件内存映射 I/O 寄存器来绕过页面保护层,此问题已经通过 CVE-2023-38606 进行缓解;

9. 利用所有漏洞后,JavaScript 漏洞可以针对设备执行任何操作,包括运行间谍软件,但攻击者选择:

启动 IMAgent 进程并注入有效负载以清除设备中的漏洞利用痕迹;

以不可见模式运行 Safari 进程,并将其转发到下一攻击阶段使用的网页;

10. 该网页有一个脚本来验证受害者,如果检测通过则转到下一阶段:Safari 漏洞利用;

11. Safari 漏洞利用 CVE-2023-32435 来执行 shellcode;

12. shellcode 以 Mach 目标文件的形式执行另一个内核漏洞利用,它使用相同的漏洞:CVE-2023-32434 和 CVE-2023-38606,这与使用 JavaScript 编写的内核漏洞完全不同,不过目标也是用于内存解析操作,但在后期攻击者大部分功能并未使用;

13. 该漏洞利用获得 root 权限并继续执行其他阶段,包括加载间谍软件等。

据卡巴斯基介绍,在2019年就有黑灰产尝试利用该漏洞发起攻击,到了iOS 16版本,该漏洞甚至演变成黑灰产滥用的局面。在2023年6月披露细节后苹果公司才进行了修复,那在此期间,黑灰产团队究竟利用此漏洞发起了多少次攻击,目前仍未有确切的信息。

OpenAI的科学家Andrej Karpathy针对此事发表了自己的看法,认为这是迄今为止所见过的攻击链中最为复杂的一个。黑灰产巧妙利用了苹果芯片中的硬件机制漏洞,进而通过iMessage完成入侵。

在苹果的大本营——美国,iMessage的受欢迎程度不亚于潮流明星。「绿泡泡」与「蓝气泡」之间的爱恨情仇更是几乎每年都会被放到明面上进行讨论,这里的蓝绿泡泡是指苹果通过短信界面的聊天气泡颜色,对普通短信和iMessage短信进行区分(即iPhone设备和非iPhone设备)。

iMessage作为苹果设备的特色功能之一,在全球果粉的助推下,隐约形成了自己的强大「壁垒」。但也正因为如此,苹果应该多注重安全隐私问题,打击防备像 Triangulation 安全漏洞和骚扰/诈骗短信现象的发生。

1 阅读:183

FreeBuf

简介:国内头部网络安全媒体。