苹果拒绝为 iPhone 中发现的“漏洞”向卡巴斯基实验室支付100万美元

苹果拒绝为 iPhone 中发现的“漏洞”向卡巴斯基实验室支付100万美元 苹果公司拒绝向卡巴斯基实验室支付2023年在 iOS 中发现的漏洞奖励，该漏洞允许攻击者在任何 iPhone 上安装间谍软件模块。根据苹果安全赏金计划，对此类漏洞信息的奖励最高可达100万美元，但苹果拒绝将其支付给卡巴斯基实验室或慈善机构。卡巴斯基实验室俄罗斯研究中心负责人德米特里·加洛夫表示：““我们发现了零日、零点击漏洞，并将所有信息转移给苹果，并做了一项有用的工作。本质上，我们向他们报告了一个漏洞，他们必须为此支付漏洞赏金。但苹果以内部政策为由，拒绝向我们付款，甚至拒绝将款项转赠给慈善机构，而且没有任何解释。”

简讯：总部位于莫斯科的安全公司卡巴斯基表示，他们发现了一种通过iMessage传递的新型网络攻击。这种攻击被称为“三角行动”，据

简讯：总部位于莫斯科的安全公司卡巴斯基表示，他们发现了一种通过iMessage传递的新型网络攻击。这种攻击被称为“三角行动”，据称已感染了“数十个”员工的iPhone，一些异常流量通过公司网络上的统一监控和分析平台检测到。

在2019年至2022年12月期间，一种极其先进的iMessage漏洞诞生，最终被发现它的卡巴斯基安全研究人员命名为“三角测量行

在2019年至2022年12月期间，一种极其先进的iMessage漏洞诞生，最终被发现它的卡巴斯基安全研究人员命名为“三角测量行动”。现在，他们分享了他们所知道的关于他们“见过的最复杂的攻击链”。 今天在Chaos通信大会上，卡巴斯基安全研究员鲍里斯·拉林、列昂尼德·别兹维申科和格奥尔基·库切林进行了一场关于“三角行动”的演讲。这是他们三人首次“公开披露了在高级iMessage攻击中使用的所有漏洞和漏洞细节”。 研究人员今天也在卡巴斯基SecureList博客上分享了他们的所有工作。 以下是包括用于获取受害者设备根权限的四个零日漏洞在内的完整复杂攻击链： • 攻击者发送一个恶意的iMessage附件，应用程序在不向用户显示任何迹象的情况下处理该附件。 • 此附件利用了未公开的、仅限苹果系统的ADJUST TrueType字体指令中的远程代码执行漏洞CVE-2023-41990。该指令自九十年代初就存在，直到一个补丁将其移除。 • 它使用返回/跳转导向编程和多个用NSExpression/NSPredicate查询语言编写的阶段，通过修补JavaScriptCore库环境来执行用JavaScript编写的权限提升漏洞利用程序。 • 这个JavaScript漏洞利用代码被混淆处理，以使其完全无法阅读并尽可能减小其大小。尽管如此，它大约包含11,000行代码，主要用于JavaScriptCore和内核内存解析与操作。 • 它利用JavaScriptCore的调试功能DollarVM（$vm）来获得从脚本操作JavaScriptCore内存和执行原生API函数的能力。 • 它旨在支持新旧款iPhone，并包含了一个指针认证码（PAC）绕过功能，用于对近期型号的利用。 • 它利用了XNU内存映射系统调用（mach_make_memory_entry和vm_map）中的整数溢出漏洞CVE-2023-32434，在用户级别获得对设备全部物理内存的读/写访问权限。 • 它使用硬件内存映射I/O（MMIO）寄存器来绕过页面保护层（PPL）。这一问题已作为CVE-2023-38606得到缓解。 • 在利用了所有漏洞之后，JavaScript漏洞利用程序可以对设备做任何它想做的事情，包括运行间谍软件，但攻击者选择：(a) 启动IMAgent进程并注入一个清除设备上的利用痕迹的有效载荷；(b) 以隐形模式运行Safari进程，并将其转发到带有下一阶段内容的网页。 • 网页中有一个脚本，用于验证受害者，如果检查通过，就会接收下一个阶段：Safari漏洞利用。 • Safari 漏洞利用 CVE-2023-32435 来执行 shellcode。 • Shellcode执行了另一个以Mach对象文件形式存在的内核漏洞利用程序。它使用了相同的漏洞：CVE-2023-32434和CVE-2023-38606。就大小和功能而言，它也是庞大的，但与用JavaScript编写的内核漏洞利用程序完全不同。与上述漏洞利用相关的某些部分是这两者共有的。然而，它的大部分代码也致力于解析和操作内核内存。它包含了各种后期利用工具，这些工具大多未被使用。 • 该漏洞获取了根权限，并继续执行其他阶段，这些阶段会加载间谍软件。我们在之前的帖子中介绍了这些阶段。 标签: #Apple #零日漏洞 #iPhone 频道: @GodlyNews1 投稿: @GodlyNewsBot

发条消息就破解iPhone 史上最嚣张黑客连用4个零日漏洞

发条消息就破解iPhone 史上最嚣张黑客连用4个零日漏洞 同样好奇的当然也有受害者本人，也就是卡巴斯基团队。他们给这个入侵行动起了个名字叫 “ 三角测量行动 ” ，并且对整个入侵事件就进行了复盘，给出了详细的报告。卡巴斯基的报告里 ” 三角测量行动 “ 附图仔细分析了一下卡巴斯基团队的分析报告，发现入侵者的入侵方法堪称 “ 豪华 ” ，连卡巴斯基团队自己都懵逼了，从来没见过这个玩法：这次针对 iPhone 的攻击，居然同时利用了 4 个零日漏洞，就是凭借着 4 个漏洞，攻击者基本实现了对整个硬件设备的完全控制。额外提一嘴，零日漏洞（ Zero-Day ）又叫零时差攻击，指的就是那种之前从来没有被发现过、所以没有被修复或者拦截的漏洞。我尝试着把攻击者利用零日漏洞完成攻击的整个链条捋了一遍，大致是这个样子的：通俗点来讲，就是黑客给目标手机发了一个假的 iMessage 附件，植入了一个木马，这个木马骗过了 iPhone 里各种严防死守的保护机制，甚至绕过了苹果 A 系列处理器芯片上的硬件防护，完全控制了整个手机硬件设备，可以说为所欲为。在整个过程中，前面提到的 4 个零日漏洞被充分利用，被攻击的手机只是因为接到了 iMessage 附件，甚至都还没打开，整个手机就已经连底裤都被扒光了。看完我感觉这个攻击者的操作离谱到匪夷所思，他真的是普通的攻击者吗？听我讲完这些零日漏洞到底是啥，攻击者又是怎么利用他们的，估计就会懂我为什么会有这样的疑问了。在最开始，攻击者会给目标手机发送一份恶意的 iMessage 附件，但是按照 iMessage 对待附件的逻辑，它会在不向用户显示任何迹象的情况下处理这个附件。也就是说，用户可能还没察觉这个是不是有问题的附件， iMessage 就已经开始处理这个附件了，这个有问题的附件进入到你的 iPhone 的过程，用户是无法察觉的。光是无法察觉这一点，估计已经吓坏一大帮人了，但是这还只是入侵者的引子。攻击者真正的第一个目标是一个名为 CVE-2023-41990 的零日漏洞。这个漏洞存在于一款用来调整字体的显示效果的系统 API 指令中，可以让攻击者通过恶意 iMessage 附件远程执行代码，或者说植入了一个木马。是的，苹果的字体指令中也会有漏洞，而且该指令自上世纪 90 年代初就已存在。但是这个字体指令本身是苹果公司独有的，而且苹果并没有公开这一条指令的存在，很多关注这个事情的人分析到这里的时候都怀疑攻击者的真实来头。第一遍看的时候我以为，攻击者植入的木马就是这个 iMessage 附件本身。但实际上它只是打开字体指令漏洞的钥匙，真正的 “ 木马 ” 是在没公开的字体指令的漏洞里被植入的。被植入之后，这个 “ 木马 ” 一路高歌猛进，从代码框架手上骗到了执行手机上别的程序的能力，这已经进入到 iOS 系统非常深的内部了，甚至已经差不多要摸到系统内核了。一般来说到了这里，攻击者已经可以收手了，直接劫持一个本地程序，也能读取手机上的一些隐私和信息。但对于这一次入侵的攻击者来说，前面所做的还只是他的开胃菜，他真正的目标就是 iOS 的系统内核。按照正常的思路，攻击者现在已经进入到 iOS 系统内部，下一步他应该会直接去攻击系统内核。但是他没有这么做。攻击者利用了内核中第二个零日漏洞，内存管理 - 内存映射系统上的一个漏洞，直接先去控制了最最最底层的硬件内存（ 获取了整个物理内存的读取和写入权限 ）相当于说，先放下了 iOS 的这一套系统不管，跑到了 A 系列芯片上，控制了处理器上实际物理内存。我们平时接触到的 iMessage 、微信这些应用程序，并不会直接操作实际的芯片上的物理内存。比如微信要存储一个文件，并不是微信自己的代码跑到硬件内存芯片上去写，它只要把文件交给系统的接口。剩下的具体操作系统会统一安排，到硬件硬件内存芯片上去写入。既然攻击者的目标是 iOS 系统内核，那为啥要费这么大劲儿绕过它，而去管那么远的硬件内存的事情呢？实际上到这里为止，系统内核还是安全的，只是被利用了一下。因为就算攻击者能够往实际的物理内存里乱写东西，也没有用攻击只能往这里面写，但是不知道这一个内存块存的是什么东西、是用来干嘛的。内核访问硬件内存的路径也是七弯八绕的根本不知道，攻击者企图从硬件内存反攻回内核简直是在自己找死，自己在里头绕几圈没准就迷路绕死了。除此之外攻击者还有一个 “困难 ” 要克服 苹果的硬件级内存防护。比如苹果的页表保护层 PPL (Page Protection Layer) ，这样的硬件级别的内存防护，专门防这种能搞定硬件内存的攻击者。在这次的攻击事件发生之前，苹果的这种深度基于硬件的保护被认为是牢不可破的。因为这样的硬件级别内存防护高度依赖于 SOC 设计本身，正常情况下的只芯片设计者自己知道这个保护是怎么回事。但是攻击者又是怎么破的呢 ?准确地说，他并没有攻破这一层的硬件级内存防护。因为他找到了第三个零日漏洞苹果的这个页表保护层虽然很强势，但是可以绕过。攻击者是怎么利用这个零日漏洞的呢？用卡巴斯基团队自己的话来说就是：攻击者能够把数据写入某个特定的物理地址，通过将数据、目的地址和数据哈希写入到未被固件使用的芯片的未知硬件寄存器，从而绕过了基于硬件的内存保护。简单讲就是，苹果的这一层硬件级防护，只能保护那些被系统内核用过的硬件区域。也就是说，硬件内存里有一块隐藏区域，连苹果的安全系统都不知道它的存在，保护不到它，但是这个黑客知道。于是这块隐藏区域成为了绕过安全检查的后门。攻击者就这样绕过绕过了这一层硬件级别的防护，劫持了系统内核。在利用完前面三个零日漏洞之后，攻击者基本就可以在设备上做任何他想做的事情了，他想要进的系统内核，也能进了。但是攻击者还没有要收手的意思。估计手机自己都无语了，我现在从到里又从里到外都已经被你看了个遍了，你想让我干嘛也我也完全要听你的了，你还想怎么样？事实上攻击者确实也可以清除掉所有漏洞利用痕迹，继续埋伏在这一台 iPhone 里，闷声发大财，或者就干脆擦屁股走人。但是攻击者选择了悄悄地运行 Safari 浏览器的进程，找到了另一个零日漏洞。假如读者里有搞攻防的小伙伴可能现在的心情已经日了狗了。大家可能不知道 iPhone 的一个零日漏洞有多值钱 去年的 Pwn2Own 大会拿一百万美元都没钓出来苹果的 0day。结果这哥们轻轻松松就扔了四个出来，而且最离谱的是，你们知道他拿这第四个 0day 漏洞干了什么吗？他又执行了一遍先控制物理内存再反攻 iOS 内核的操作！！！（最开始提到第一个漏洞做过的事情）这位黑客，请问你是来搞黑客攻击的还是来炫富的？！假如 iPhone 能说话，可能也要开始大喊开挂了。好了，这次事件的攻击流程我们总算是大概给大家盘完了。这次攻击事件最有意思就是前面说到的，被攻击者用来从硬件内存，反攻系统内核的 “ 隐藏区域 ” 。这个隐藏区域，其实是某个没有被用到的硬件寄存器。正常情况下，各种可用的外围设备比如马达、扬声器、麦克风等等，都会提供特殊的硬件寄存器，CPU 可以通过这些寄存器来操作这些设备。而此次攻击者用来绕过苹果硬件层保护的这些寄存器，CPU 自己都没有调用过，也不知道他们是用来干嘛的。这就是为啥要说这些寄存器是 “ 未知 ” 的。夸张点说，即使是是苹果自己的工程师来了，不花上一点功夫都不... PC版： 手机版：

FragAttacks 是一组安全漏洞，可用于攻击Wi-Fi设备。有史以来的每一个Wi-Fi设备都有漏洞，使得攻击者可以窃取敏感

FragAttacks 是一组安全漏洞，可用于攻击Wi-Fi设备。有史以来的每一个Wi-Fi设备都有漏洞，使得攻击者可以窃取敏感数据或攻击您网络上的设备。 这里是您需要知道的内容。 《如何保护您的Wi-Fi免受FragAttacks攻击》

拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码，破坏攻

拼多多的事还没完。俄罗斯知名反病毒软件卡巴斯基正式开锤拼多多。莫斯科卡巴斯基实验室的研究人员证实拼多多安装程序有恶意代码，破坏攻击用户手机系统。现在中美俄三国，除了中国都在锤拼多多，大概我们监管机构没有人看得懂代码和程序，也不懂技术。恶意代码摆在面前也看不懂，即使全世界以你为敌。以下图片来源于卡巴斯基，以及目前最细节的中文分析（github上davincifans101）拼多多这个我国安装量巨大的软件确实存在利用漏洞恶意代码攻击用户的情况。我们的监管机构像死了一样，看不见。） 参见链接 1. 2.