如果你最近還沒更新你的iPhone或安卓設(shè)備,最好現(xiàn)在馬上就更新,。除非安裝了最新的補(bǔ)丁,,否則極少被檢查的WiFi芯片中所含的一個(gè)漏洞,可使黑客隱身潛入10億臺(tái)設(shè)備中的任何一臺(tái),。沒錯(cuò),,不是百萬(wàn)臺(tái),,不是千萬(wàn)臺(tái),是10億臺(tái),。
侵害范圍這么廣的漏洞極少出現(xiàn),,真是謝天謝地。蘋果和谷歌投入巨資保護(hù)他們的移動(dòng)操作系統(tǒng),,給黑客設(shè)下層層障礙,,還為其軟件漏洞開出舉報(bào)獎(jiǎng)勵(lì)。但現(xiàn)代計(jì)算機(jī)或智能手機(jī)就是某種形式上的硅基科學(xué)怪人,,渾身插滿來(lái)自第三方公司的組件,,其中代碼谷歌和蘋果都控制不了。而當(dāng)安全研究員尼泰·阿滕斯坦深入探索驅(qū)動(dòng)每臺(tái)iPhone和大部分現(xiàn)代安卓設(shè)備的博通芯片模塊時(shí),,他就發(fā)現(xiàn)了一個(gè)可完全破壞掉那昂貴安全投入的漏洞,。
該漏洞被阿滕斯坦命名為Broadpwn,上幾周谷歌和蘋果就在加緊著手修復(fù)該漏洞,。若未安裝該修復(fù)補(bǔ)丁,,置身目標(biāo)WiFi范圍內(nèi)的黑客,便不僅可以黑入受害者手機(jī),,還能將受害手機(jī)轉(zhuǎn)化為惡意接入點(diǎn),,感染附近的手機(jī),一臺(tái)接一臺(tái)地?cái)U(kuò)散,,正如阿滕斯坦所描述的——首款WiFi蠕蟲,。
雖然該漏洞已被修復(fù)——說(shuō)真的,趕緊更新,,但其仍然能為我們的設(shè)備基本安全提供更深層次的思考,。不遠(yuǎn)的將來(lái),智能手機(jī)黑客攻擊可能會(huì)更少著眼于操作系統(tǒng),,而更多地放在外圍組件的潛在漏洞上,。
阿滕斯坦在剛剛落幕的美國(guó)黑帽安全大會(huì)上展示了他的發(fā)現(xiàn),并在隨后的《連線》雜志采訪中說(shuō):“主流系統(tǒng),,比如搭載了iOS或安卓的應(yīng)用處理器,,在密集的安全研究下已經(jīng)被強(qiáng)化了不少,因而安全研究員們開始探索其他的方向,。他們開始尋找漏洞利用還沒那么難的地方,。”
隨著黑客找尋越來(lái)越罕見的無(wú)用戶互動(dòng)攻擊,,比如在瀏覽器里打開惡意網(wǎng)頁(yè),,或者點(diǎn)擊短信中的惡意鏈接,他們將專注在諸如博通芯片這樣的第三方硬件組件上。
Broadpwn
阿滕斯坦是安全公司 Exodus Intelligence 的一名研究員,,他幾年前就懷疑博通的WiFi芯片可能提供了通往智能手機(jī)內(nèi)部的新康莊大道,。畢竟,現(xiàn)代手機(jī)的“內(nèi)核”,,如今被各種各樣的防護(hù)措施保護(hù)得嚴(yán)嚴(yán)實(shí)實(shí)的,,比如防止黑客利用內(nèi)存的地址空間布局隨機(jī)化(ASLR),還有數(shù)據(jù)執(zhí)行保護(hù)——防止黑客在數(shù)據(jù)中植入惡意指令誘騙計(jì)算機(jī)執(zhí)行之,。
但博通的WiFi控制器沒有這些防護(hù)措施,,且在各大生產(chǎn)商和操作系統(tǒng)中都能見到,從最新的三星Galaxy到每一臺(tái)iPhone,。在黑帽大會(huì)的演講中,,阿滕斯坦說(shuō)道:“很明顯,這是一個(gè)有趣得多的攻擊界面,。你不用重復(fù)工作,。只要發(fā)現(xiàn)一個(gè)漏洞,就能在多個(gè)地方重用,?!?/p>
于是,大約1年前,,阿滕斯坦開始了艱難的博通芯片固件逆向工程,。GitHub上意外泄露的博通源代碼幫了他大忙。在代碼挖掘過(guò)程中,,他很快發(fā)現(xiàn)了問題點(diǎn),。“仔細(xì)查看這些系統(tǒng),,你會(huì)像重回過(guò)去美好時(shí)光一樣發(fā)現(xiàn)漏洞?!?/p>
最終,,他發(fā)現(xiàn)了一個(gè)特別重要的漏洞,隱藏在博通的“關(guān)聯(lián)”過(guò)程中,,也就是允許手機(jī)在連接WiFi之前搜索熟悉的WiFi網(wǎng)絡(luò)的過(guò)程,。該握手過(guò)程開端的一部分,并未恰當(dāng)限定WiFi接入點(diǎn)發(fā)回給芯片的一段數(shù)據(jù)——所謂“堆溢出”漏洞,。通過(guò)精心編制的響應(yīng),,該接入點(diǎn)可發(fā)送能破壞該模塊內(nèi)存的數(shù)據(jù),溢出到內(nèi)存其他部分,,作為指令執(zhí)行,。
可以用特殊方法構(gòu)造畸形響應(yīng)數(shù)據(jù),獲得在內(nèi)存任意位置寫入的權(quán)力。如果黑客想要遠(yuǎn)程攻擊現(xiàn)代操作系統(tǒng)里受保護(hù)的隨機(jī)化內(nèi)存,,這種溢出是非常難以實(shí)現(xiàn)的,,但對(duì)智能手機(jī)上的博通WiFi模塊內(nèi)存使用,卻異常契合,?!斑@是個(gè)相當(dāng)特殊的漏洞?!?/p>
由于該漏洞存在于博通代碼中負(fù)責(zé)自動(dòng)關(guān)聯(lián)手機(jī)與接入點(diǎn)的部分,,拿下WiFi芯片的整個(gè)過(guò)程,可在用戶毫無(wú)所覺的情形下發(fā)生,。更糟的是,,該攻擊還可將WiFi芯片本身轉(zhuǎn)化為接入點(diǎn),向WiFi范圍內(nèi)任意脆弱手機(jī)廣播該攻擊,,在智能手機(jī)世界里形成指數(shù)級(jí)擴(kuò)散,。
阿滕斯坦自己倒是還沒走到從WiFi芯片擴(kuò)散到手機(jī)內(nèi)核的這一步,但他相信,,對(duì)有動(dòng)力的黑客而言,,這最后一步不無(wú)可能。
對(duì)一個(gè)有各種資源的真實(shí)攻擊者而言,,這不是問題,。
谷歌在7月初放出了安卓手機(jī)的更新,上周,,蘋果也跟進(jìn)了iOS補(bǔ)丁,,就在26號(hào)阿滕斯坦在博客帖子里揭示完整漏洞信息之前。
最弱一環(huán)
這不是博通漏洞第一次騷擾智能手機(jī)行業(yè)了,。今年早些時(shí)候,,蘋果和谷歌就不得不搶救另一個(gè)博通WiFi漏洞。該漏洞是谷歌“零日計(jì)劃”研究團(tuán)隊(duì)成員加爾·貝尼亞米尼發(fā)現(xiàn)的,。與阿滕斯坦的攻擊類似,,該漏洞也會(huì)導(dǎo)致對(duì)WiFi范圍內(nèi)任意安卓或iPhone的權(quán)限獲取。
阿滕斯坦和貝尼亞米尼攻擊的潛在嚴(yán)重性(這些都可能潛伏在手機(jī)里多年),,指向了相對(duì)未經(jīng)審查的組件中所存漏洞的危險(xiǎn)性,,比如博通賣出的那些組件。
自2010年起,,網(wǎng)絡(luò)安全世界就已經(jīng)越來(lái)越注意到第三方芯片的漏洞了,,比如處理智能手機(jī)通訊的基帶處理器。但就在研究人員更深入地審查基帶芯片時(shí),,其他芯片,,比如處理WiFi,、藍(lán)牙、近場(chǎng)通訊的那些,,依然審查得不是那么嚴(yán)格,。
高通公司安全工程經(jīng)理阿列克斯·甘特曼辯稱,高通廣為使用的基帶芯片,,不受博通芯片那種缺乏防護(hù)的困擾,。雖然沒有保護(hù)操作系統(tǒng)內(nèi)核的那種內(nèi)存隨機(jī)化,高通的芯片也是實(shí)現(xiàn)了數(shù)據(jù)執(zhí)行保護(hù)的,。但他也承認(rèn),,Broadpwn那樣的漏洞依然表明,設(shè)備制造商不僅僅需要考慮第三方組件的安全,,還要內(nèi)置能夠限制被黑所造成的損害的防護(hù)措施,。“你必須得將一臺(tái)計(jì)算機(jī)當(dāng)做一個(gè)被恰當(dāng)分隔的網(wǎng)絡(luò),,這樣即便獲取了某個(gè)組件的控制權(quán),,也控制不了整個(gè)系統(tǒng)?!?/p>
除非這些手機(jī)外圍組件的安全,,升級(jí)到其操作系統(tǒng)內(nèi)核的安全水平,否則黑客會(huì)一直挖掘它們,。阿滕斯坦以他自己和谷歌貝尼亞米尼的漏洞發(fā)現(xiàn)為例,,指出此類第三方組件黑客攻擊會(huì)洶涌而來(lái)。
我們倆都在無(wú)人探究數(shù)年后選擇了這個(gè)研究方向,,意味著威脅態(tài)勢(shì)正在改變,。攻擊者開始轉(zhuǎn)向硬件。我認(rèn)為此類攻擊將會(huì)增加,。