最近,研究人员发现iPhone在关机时仍然可以工作。德国达姆施塔特大学安全移动网络实验室的研究人员在一篇题为《邪恶永不眠:当无线恶意软件在关闭iPhone后继续运行》(EvilNeverSleeps:WhenWirelessMalwareStaysOnAfterTurningOffiPhones)的论文中描述了一种破解处于关机状态的iPhone的理论方法.该研究检查了无线模块的操作,并找到了一种分析蓝牙固件的方法,以引入能够完全独立于设备操作系统iOS运行的恶意软件。稍加想象,不难想象这样一种场景:攻击者将受感染的手机靠近受害者的设备并传输恶意软件,然后窃取支付卡信息甚至虚拟车钥匙。想象的原因是论文作者只是从理论上证明了这一点,距离实际攻击还有一步之遥。即便如此,研究人员还是做了大量工作来分析手机未记录的功能,对其蓝牙固件进行逆向工程,并对使用无线模块的各种场景进行建模。首先是一个重要的声明:如果设备已关闭,但仍然可以与它进行交互(例如黑客攻击),那么你猜怎么着-它没有完全关闭!我们如何在不完全关闭它的情况下关闭它?让我们从头开始……Apple的低功耗(LPM)模式2021年,Apple宣布即使设备关闭,用于查找丢失设备的FindMy服务也可以运行。自iPhone11以来,所有Apple智能手机都提供了这项改进。例如,如果用户在某处丢失了手机,一段时间后电池没电了,它不会完全关机,而是切换到低功耗模式(LPM)其中只有非常有限的一组模块保持活动状态。这些主要是蓝牙和超宽带(UWB)无线模块,以及近场通信(NFC)等。还有所谓的安全元件-一种安全芯片,可以存储您最珍贵的秘密,例如信用卡非接触式支付或车钥匙的详细信息(自2020年以来为有限数量的车辆提供的最新功能)。LPM是iPhone的一种省电模式。开启此模式后,手机状态栏中的电池图标会变成黄色。iPhone或iPad充电至80%或更高后,Apple的LPM将自动关闭。LPM模式下的蓝牙用于数据传输,而UWB用于确定智能手机的位置。在LPM模式下,智能手机发送有关自身的信息,这些信息可以被路人的iPhone接收到。如果丢失手机的所有者在线登录他的Apple帐户并将手机标记为丢失,来自周围智能手机的信息将用于确定设备的下落。不可否认,LPM模型在为用户提供便利的同时,也增加了安全风险,这引起了信息安全专家的重视。为此,来自德国的研究团队决定在实践中测试可能的攻击场景。关机后的“FindMy”功能首先,研究人员对低功耗模式下的“FindMy”服务进行了详细分析,发现了一些此前不为人知的功能。断电后,大部分工作由蓝牙模块处理,蓝牙模块通过一组iOS命令重新加载和配置。然后,它会定期通过无线方式发送数据包,让其他设备能够检测到实际上并未关机的iPhone。原来这种模式的时长是有限制的:在iOS15.3版本中,只设置了96个广播会话,间隔15分钟。也就是说,丢失关机的iPhone只能在24小时内找到。如果手机因电池电量不足而关机,则窗口会更短——大约5小时。这可以看作是该功能的一个“怪癖”,但也暴露了一个真正的错误:有时当手机关闭时,“信标”模式根本没有被激活,尽管它应该被激活。这里最有趣的是,蓝牙模块在断电前被重新编程;也就是说,它的功能发生了根本性的改变。但是,如果它可以重新编程而不利于所有者呢?针对关机手机的攻击事实上,研究小组的主要发现是蓝牙模块的固件没有加密,也没有受到“安全启动”技术的保护。安全启动涉及在启动时对程序代码进行多级验证,以确保只有设备制造商授权的固件才能运行。缺乏加密允许分析固件和搜索漏洞,这些漏洞可以在以后用于攻击。但缺乏安全启动将允许攻击者用他们自己的代码完全替换制造商的代码,然后由蓝牙模块执行。相比之下,iPhoneUWB模块的固件分析表明它受安全启动保护,但固件也未加密。当然,这对于严肃的实际攻击来说是不够的。为此,攻击者需要分析固件,尝试用自己制作的东西替换它,并寻找闯入的方法。该论文的作者详细描述了攻击的理论模型,但没有表明iPhone可以是实际上是通过蓝牙、NFC或UWB入侵的。研究结果清楚地表明,如果这些模块始终处于开启状态,那么漏洞利用也将始终有效。Apple驳回了这项研究,并拒绝提供任何信息。研究人员必须处理封闭的软件代码,这些代码通常是加密的。智能手机是庞大而复杂的系统,可能难以研究,尤其是当制造商不合作甚至阻挠时。虽然这些发现并不完全令人震惊,但它们是大量努力工作的结果。而且,这篇论文提出了关掉手机电源的安全策略问题,这些问题也被证明是合理的。半断电设备本文得出结论,蓝牙固件没有得到充分保护。理论上,它可以在iOS中进行修改,或者通过扩展/更改其功能重新编程为相同的低功耗模式。然而,主要问题是这些无线模块(以及NFC)直接与充当安全元件的受保护飞地通信。这让我们得出了本文中一些最令人兴奋的结论:理论上,即使设备处于关机状态,也可以从iPhone中窃取虚拟车钥匙!显然,如果iPhone是汽车的钥匙,那么丢失设备可能意味着失去汽车。但是,在这种情况下,当钥匙被盗时,实际手机仍在您的手中。想象一下以下场景:恶意行为者在商场接近您,将您的手机滑入您的包中,然后窃取您的虚拟钥匙。理论上可以修改蓝牙模块发送的数据,例如,为了使用智能手机监视受害者——同样,即使手机处于关机状态。从手机窃取支付卡信息是另一种理论上的可能性。但这当然还有待证明。德国团队的研究再次表明,增加新功能会带来一定的安全风险,必须慎重考虑。尤其是当现实与您想象的大不相同时:您认为您的手机已完全关机,但事实并非如此。请注意,这不是一个全新的问题。英特尔管理引擎和AMD安全技术还处理系统保护和安全远程管理,只要笔记本电脑或台式机的主板连接到电源,它们就会处于活动状态。就像iPhone中的蓝牙/UWB/NFC/安全元素捆绑包一样,这些系统在计算机内部拥有广泛的权限,其中的漏洞可能非常危险。好的一面是,该论文对普通用户没有直接影响,研究中获得的数据不足以进行实际攻击。但作为一个万无一失的解决方案,研究人员建议苹果公司应该实施一个完全切断手机电源的硬件开关。但考虑到苹果的“物理按键恐惧症”,这应该很难实现。原文链接:https://usa.kaspersky.com/blog/hacking-powered-off-iphone/26579/
