苹果公司在收到Citizen Lab的初次报告后的10天内完成了一次更新。建议立即为所有iOS 9设备更新。根据Citizen Lab和监视安全性。劫持者可以访问设备的摄像头和麦克风,甚至可以在其他端对端安全应用程序(如WhatsApp)中捕获音频呼叫。一起使用时,这些漏洞可以使某人劫持iOS设备并远程控制或监视它。他们还可以获取存储的图像,跟踪运动并检索文件。
报告的共同作者,《公民实验室》(Citizen Lab)的比尔·马尔恰克(Bill Marczak)在接受采访时说:“从这些漏洞的研究中我们看到,它们似乎比9.3.3 / 9.3.4的发布时间要长一些。” iOS 9.3.3于7月18日发布。
其中一些漏洞可能是在几个月前或更长时间才被发现的,因此无法得知它们的使用范围,但是详细信息表明,以前版本的iOS 9中的这些活跃漏洞并未得到广泛使用,而是针对个人部署的。目标。
苹果发言人表示:“我们已意识到此漏洞,并立即通过iOS 9.3.5对其进行了修复。我们建议所有客户始终下载最新版本的iOS,以保护自己免受潜在的安全漏洞的侵害。”
越狱已经得到证明,但尚未针对iOS 9.3.4发行,这些越狱可能依赖于现已修复的三个漏洞的一个或多个方面。
根据越狱者,安全研究人员和向政府出售漏洞(其中有些出售给任何付费的人)的公司的努力,iOS的零日漏洞利用并不少见,其价格可能达到50万至100万美元。但是,这似乎是首次在野外捕获主要主动攻击的行为并进行了详细记录。Marczak表示,在激进主义者转发网络钓鱼链接之前,他的组织一直在跟踪该漏洞背后的基础架构,该链接与Citizen Lab域名已经匹配。
这些漏洞利用的任何组合被广泛用于iOS用户的可能性非常低,因为研究人员和Apple可能会发现任何被广泛利用的漏洞。漏洞最有可能被发现它们的任何一方都保留在背心附近,并且仅被部署用于政府或集团的高价值主体。
正如Lookout Security指出的那样:“飞马[移动间谍产品]的现行价格大约为300个许可证,价格为800万美元,因此,它不太可能针对普通移动设备用户使用,仅是可以被认为具有高价值的目标。”
尽管如此,既然漏洞已被记录在案,安装此更新非常关键,因为攻击者可能会尝试将这种方法用于过时的设备。但是,Marczak指出:“这是一个相当复杂的漏洞,我们确实省略了有关哪些功能易受攻击的详细信息”,因此组织可能无法在大多数iOS用户进行更新之前利用这些漏洞。
用户也应该避免-现在就永远!—单击来自未知方的SMS消息中的链接。因为SMS消息可能是伪造的,所以即使来自已知方也可能很危险。
漏洞利用的工作方式
Citizen Lab是多伦多大学Munk全球事务学院的一个项目,研究人员研究了如何在数字领域行使权力,专门研究人权和全球安全。《公民实验室》报告是与Lookout Security合作完成的,它以该小组以前的工作为基础,以图表显示该组织被称为Stealth Falcon的范围,该小组针对阿拉伯联合酋长国(UAE)政府的内部和外部批评者。尽管Citizen Lab已确定了Stealth Falcon的基础架构,但尚未将活动的恶意软件与其连接。
8月10日,阿联酋著名人权活动人士艾哈迈德·曼索尔(Ahmed Mansoor)收到了可疑的SMS消息,该消息带有链接,单击链接以获取表面上有关虐待的信息。曼苏尔已入狱,被禁止在阿联酋以外的地方旅行,并且是前两次所谓的“合法拦截”努力的受害者。合法拦截是指政府利用当地法律的力量从网络中获取信息,尽管所使用的方法可能并不总是适用于发生这种情况的国家的法定或宪法保护。
毫无疑问,Masoor将消息转发给了Citizen Lab,后者随后与Lookout Security合作测试该恶意软件,并识别出三个单独的零日漏洞,这些漏洞可以在当前发布的软件中利用。漏洞利用链的工作方式如下:
SMS发送的URL将打开一个网页,该网页加载JavaScript,然后检索远程二进制文件(适用于32位和64位版本的iOS)。iOS的WebKit呈现组件中的漏洞利用程序允许这些二进制文件在Safari中执行。
执行的二进制文件利用漏洞利用程序,可以绕过Apple在操作系统中使用的保护措施-内核地址空间布局随机化(或KASLR)-该功能应防止恶意软件识别在内存中发现操作系统核心的运行位置。
知道可以在内核中找到内存的位置后,将触发第三次利用漏洞利用,这将破坏内核中的内存,从而使iOS无法阻止未由Apple签名的软件运行。有效地越狱了电话。
研究人员发现,在依次触发了这些漏洞之后,执行的二进制文件随后下载并运行间谍软件有效负载,该负载旨在在重新启动iOS时保持不变。它禁用Apple的自动更新并删除其他越狱行为。
报告说,越狱者在整个iOS上安装了钩子以拦截数据,并专门监视许多应用程序,包括“ iMessage,Gmail,Viber,Facebook,WhatsApp,Telegram,Skype,Line,KakaoTalk,微信,Surespot,Imo。即时通讯,Mail.Ru,Tango,VK和Odnoklassniki。” 该恶意软件连接到远程命令和控制服务器,以窃取捕获的数据。
Marczak表示,针对性强的攻击的特征在于,单击一次URL即可停止工作,其目的是感染一方,然后无法进行进一步的调查。Marczak说,他们遵循了标准发行的iPhone上的链接并捕获了感染过程,但是当恶意软件开始与操作员的服务器通信时,他和他的同事对启用麦克风和GPS坐标传输感到不安。
“很快,我们将其关闭并放入金属盒中,” Marczak的同事Nick Weaver说。“我们不希望他们听到我们咯咯地笑。”
Citizen Lab和Lookout Security将软件与NSO Group连接起来,后者是一家以色列公司,向政府出售监控软件。该小组类似于FinFisher和Hacking团队,这两家公司的软件以前都是以Mansoor为目标的。该报告还包括将间谍软件安装尝试与阿联酋政府联系起来的证据。
该报告还与一年前在墨西哥针对记者拉斐尔·卡布雷拉(Rafael Cabrera)的尝试有关,后者报道了涉及墨西哥总统和总统妻子的利益冲突。尽管与这些尝试相关的链接并未提供恶意软件,但Cabrera为Citizen Lab提供了更近期的网络钓鱼尝试,研究人员将其与他们认为由NSO集团运营的服务器相连接,并且如果遵循这些链接,将会导致在感染中。
Marczak说,该软件旨在用于隐身,监视数据使用情况和电池消耗,以禁用可能会伸出手的功能。如果检测到分析环境或远程操作员想要拔掉插头,该软件还可以禁用自身或完全删除自身。
立即更新您的设备
要将更新安装在iOS设备上,请启动“设置”应用,然后点击 常规>软件更新。您还可以在iTunes与设备连接到Mac的情况下进行更新。
