一般而言,手机用户只要透过简单的关机动作,就能将恶意程式码消除殆尽,这是因为传统恶意攻击活动很难在手机系统重新启动后还能持续常驻系统。但这宛如常识的简单动作似乎不再灵光,因日前安全商 ZecOps 旗下安全研究人员钻研出新攻击手法,劫持并模拟 iPhone 用户关机程序,实际上手机系统仍保持运作状态,恶意软件也能持续在背景进行诸如监控使用者行为的勾当。
ZecOps 安全研究人员将这个全新的攻击技术称之为“禁止重启动”(NoReboot)技术,并视之为恶意软件得以持续常驻在 iPhone 系统中的终极漏洞。该公司并在自家官方部落格展示如何透过假关机手法来掩护远端恶监控行为,同时并将NoReboot概念验证(PoC)源代码上传 GitHub 上供人下载研究。
由于 NoReboot 手法模拟的关机程序就跟真关机没两样,所以使用者无法区分真假关机的差异。使用者深信手机已关机,表面上屏幕关闭的 iPhone 系统不但正常运行,且保持连网状态,远端骇客可像手机主人为所欲为做任何事。这无异为远端恶意攻击提供最佳掩护。
骇客首先会在三个关机程序植入恶意程式码
在日常正常状况下,透过同时按下音量调小键与电源键,手机屏幕会随即出现“滑动来关机”的滑块,在滑动之后,手机就会正常关机。这个关机程序会涉及三个背景执行程序:InCallService、SpringBoard 及 backboardd。NoReboot 攻击手法的第一步就是将恶意程式码植入到这三个背景执行程序中。
一般而言,当使用者滑动“滑动来关机”滑块来关机时,系统应用程序 /Applications/InCallService.app 会立即将关机讯息发送给专责绝大多数 UI 互动的 SpringBoard 程序。运用 NoReboot 攻击手法的 ZecOps 安全研究人员透过 Objective-C 方法的挂钩,成功将上述关机讯息加以劫持,一旦 InCallService 系统应用程序不再发送讯息给 SpringBoard 后,该系统应用程序反而会通知 SpringBoard 及 backboardd 触发安全人员原先植入的恶意程式码。
该恶意程式码会迫使 SpringBoard 跳出,并阻止它再度启动。由于 SpringBoard 专门负责对使用者行为的回应与互动,所以该程序一旦停摆,会让手机看起来就和关机一样没什么反应。这时远端攻击者可以大喇喇地透过手机镜头及麦克风监控使用者的一举一动,完全不用担心行藏会被发现。
一旦骇客取得根权限,恶意软件恐永远“长住”iOS 系统中
安全研究人员并指出,NoReboot 攻击手法可以内建到可对使用者一举一动加以侦测的恶意软件中,如此一来,使用者一旦有任何尝试关机的举动就会被立即侦测,研究人员就可以立即展开关机程序的劫持与假造。除此之外,也可搭配能模拟“手机快没电”状态的恶意软件,远端攻击者便可以理所当然地进行假关机作业。
通常手机关机后再启动时,屏幕上会出现 Apple logo,这个例行的程序,NoReboot 也能透过前述恶意程式码的植入来加以模拟。通常 SpringBoard 程序完成并跳出后,backboardd 接着会掌管屏幕,该程序会将使用者开机时按下按键与释放按键的确切时间(通常开机必须长按电源键,然后再释放),加以记录并嵌入到全域性字典物件中。NoReboot 能透过 Objective-C 方法将该嵌入档进行挂钩以便拦劫 backboardd 程序。
不仅如此,该嵌入档会释出 SpringBoard,并在嵌入的 dylib 档中触发某特殊程式码区块,进而运用本地端 SSH 金钥的存取来获得根权限,接着并重启使用者空间。一旦如此,恶意攻击者能够借此退出所有程序,然后在不触及系统核心的情况下重启 iOS 系统。之后,即使 iOS 系统再怎么更新,恶意程式码都能在无法数次这样的系统重启后持续正常运行。
NoReboot 漏洞无法被修补,唯有内建硬件式系统状态指示机制才有解
ZecOps 安全研究人员警告指出,基本上 NoReboot“漏洞”无法被修补,因为它完全没有利用任何 iOS 系统漏洞。可怕的是,这个“漏洞”适用于所有版本的 iPhone,目前唯一可行的防范之道,就是由 Apple 出面为 iPhone 内建硬件式休眠/唤醒/开关机状态指示器。
再者,因为 NoReboot 必须搭配恶意软件才能进行其他更进一步的攻击,所以使用者应该为自己的 iPhone 手机进行标准化恶意软件及木马程式扫描作业,并在下载与安装新 App 时展开例行性的审查预防措施,以防止 NoReboot 的进一步为害。
- Apple iPhone Malware Tactic Causes Fake Shutdowns to Enable Spying
(首图来源:ZecOps)
