近日,,ZecOps安全研究人員發(fā)現(xiàn)了iOS WiFi命名漏洞的零交互攻擊利用方式,,可以用來(lái)遠(yuǎn)程劫持iPhone設(shè)備,。
Wi-Fi-Demon
Wifid 是處理與WiFi連接相關(guān)的協(xié)議的系統(tǒng)daemon,。Wifid是以root 權(quán)限運(yùn)行的。大多數(shù)處理函數(shù)都在CoreWiFi 框架中定義,,而且這些服務(wù)無(wú)法在沙箱中訪問(wèn),。
6月,研究人員Carl Schou發(fā)現(xiàn)wifid在處理SSID 時(shí)存在格式字符串問(wèn)題,。攻擊者利用該wifid漏洞可以引發(fā)DoS攻擊,,禁用iPhone的WiFi功能和熱點(diǎn)功能。引發(fā)DoS 攻擊的原因是wifid 會(huì)將已知的WiFi SSID寫(xiě)入硬盤(pán)中的以下文件:
/var/preferences/com.apple.wifi.known-networks.plist
/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup
/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist
Wifid每次啟動(dòng)后,,就會(huì)從文件中讀取SSID并引發(fā)奔潰,。及時(shí)重啟也無(wú)法解決該問(wèn)題。
WiFiDemon 技術(shù)分析:零點(diǎn)擊遠(yuǎn)程漏洞利用
研究人員進(jìn)一步分析發(fā)現(xiàn):
攻擊者無(wú)法強(qiáng)迫用戶連接,。該漏洞可以以零點(diǎn)擊的非交互形式啟動(dòng),。受害者只需要將WiFi開(kāi)啟就會(huì)觸發(fā)有漏洞的代碼。
研究人員在測(cè)試格式字符串bug時(shí),,注意到WiFid在無(wú)法連接到WiFi時(shí)會(huì)生成日志。這些日志中包含SSID,,表明其中可能受到相同的格式字符串bug影響,。該日志與智能設(shè)備的一個(gè)常見(jiàn)行為有關(guān):自動(dòng)掃描和加入已知的網(wǎng)絡(luò)。
當(dāng)用戶使用手機(jī)時(shí),,iPhone每3秒會(huì)掃描WiFi網(wǎng)絡(luò),。此外,,如果用戶的手機(jī)屏幕關(guān)閉了,仍然會(huì)掃描WiFi網(wǎng)絡(luò),,但是掃描頻率會(huì)變低一點(diǎn),,掃描的時(shí)間從10秒到1分鐘左右。
如果用戶連接到已有的WiFi 網(wǎng)絡(luò),,攻擊者可以啟動(dòng)其他攻擊來(lái)斷開(kāi)設(shè)備的WiFi連接,,然后啟動(dòng)0點(diǎn)擊攻擊。
零點(diǎn)擊攻擊:如果惡意AP有密碼保護(hù),,且用戶從未加入WiFi網(wǎng)絡(luò),,硬盤(pán)中不會(huì)保存任何內(nèi)容。在關(guān)閉惡意AP后,,用戶的WiFi功能就會(huì)正常,。用戶不會(huì)注意到是否受到攻擊。