欢迎访问Allbet登录官网!

首页科技正文

让 iPhone 与 iPad 数秒内沦陷的 62078 苹果后门

sunbet首页网址2020-01-0142

让 iPhone 与 iPad 数秒内沦陷的 62078 苹果后门 第1张

「如果微软像胖虎一样恶霸, 那么苹果比小夫阴险一百倍。」 我经常用这句话及 指纹解锁 一事来简短评论苹果电脑。 最近特别推荐两组搜寻关键词: 「生物辨识 国家机器」、 fingerprints usernames not passwords。 其他苹果后门案例比较难以三言两语解释给麻瓜听, 例如 finfisher、 MDM、 iMessage、 Find my iPhone 等等。 今天要谈的苹果 usb + wifi 后门也是如此。



最近 美国政府突然再次呼吁勿使用公共USB充电站。 从 纽约时报的报导 里的连结跟关键词出发, 我简单摘要爬文心得: 透过 usb 充电入侵手机的方式, 通称为 juice jacking。 从实作的角度来看, 至少有两大类很不一样的方式。 一类是适用于攻击 android/iOS/windows/MacOS/linux 所有作业系统的 BadUSB -- 所以 任何人的 usb 充电线都应该要戴保险套 ; 另一类则是苹果的 usb + wifi 后门, 也就是本文的主题。 本文的主要参考资料是资安专家 Jonathan Zdziarski 写的 How Juice Jacking Works, and Why It’s a Threat 跟 Sabri Haddouche 写的 How to finally disable this ******* Wi-Fi Sync port (62078) on iOS。



先谈一下 android 手机上一个很实用的机制。 我在课堂上都鼓励学生启用 android 手机的 adb 传档功能, 除了传档之外, 也可以 在电脑上实镜展演手机操作。 一旦启用, 每当手机与一部陌生电脑接上 usb 资料连线 (不含「仅与充电座进行电力连线」) 的时候, 手机都会跳出警告讯息, 问你是否要信任这部电脑。 一旦信任, 那部电脑就可以对手机为所欲为。 预设情况下, 信任是暂时的 (仅限这一次连线); 如果是自己的电脑, 当然就可以勾选永久信任。 如果你想要的话, android 手机也允许信任的电脑 透过 wifi 进行无线 adb 连线, 但我都劝学生及读者不要启用。 身为一位通识等级的资讯安全老师, 我认为 adb 连线机制这样的设计很正常合理。



苹果的 iphone 也有类似的机制。 但是跟 google 的公开透明 (提供 adb 连线文件与程式码) 形成强烈的对比, 苹果的连线机制甚至没有正式的名字, 我能找到的最好的相关关键词是 62078 (埠号) 或 lockdownd (手机那头的服务名称)。 所以高手们只好透过逆向工程 (还好目前 TPM 噩梦 尚未成真, 逆向工程尚属合法) 在 2010 年左右释出开放原始码的 libimobiledevice 函式库 让三大桌机作业系统皆可与 iOS 装置沟通, 而不必受限于苹果官方所提供的工具。



让 iPhone 与 iPad 数秒内沦陷的 62078 苹果后门 第2张图片来源



以下引用 Zdziarski 那篇 2013 年 6 月的文章:



「iPhone 手机上有一个 lockdownd 随时倾听从 62078 埠传来的指令。 只要连到这个埠、 以正确的协定下指令, 即可启动手机上的诸多服务, 包含 (可以下载你个资的) 「备份」 功能及 (iTunes 会用到的) 「安装软体」 功能。 还有其他服务 (让电脑端) 可以启动封包监听以及用各种方式下载个资。 事实上其中有一些苹果的服务我只能称之为后门 -- 它可以从你的手机下载个资, 过程却毫不加密。 想要从 iOS 装置读资料出来或写东西进去, 都要靠这个关键服务 (lockdownd)。 从 2010 年起, 就有许多开发者与骇客把这程式码纳入他们各自的专案。 有些商业资安鉴识公司用这个服务从 iPhone 上捞出他们自家产品的资讯, 而有一些更狂野的骇客则拿它来偷裸照、 盗窃身份等等。」



当然, 其中一个 「应用」 就是 Juice Jacking -- 当你把 iPhone 连到一个陌生的 usb 充电座时, 不会想到墙后面可能是一部恶意的电脑, 正渴望着透过 62078 埠唤醒你手机上的 lockdownd 来替它服务



「最大的问题就是苹果的设计。 手机不会问用户是否要允许 (企图 usb 连线的) 装置与你配对。 它就这么直接帮你配对了。 每...一...次。 所以一连上线之后几秒之内, 就建立了一笔新的配对记录。 更糟的是, 这个配对记录就这么一辈子跟着你的手机, 除非用户决定要 (从 iCloud 的备份?) 还原 iPhone。 也就是说, (自从你上次还原之后) 任何曾经与你手上的手机 (在你有意识或无意识的动作下) 配对过的装置, 都可以存取你手机上的任何个人资料。 有没有觉得有一点恶心了呢?」



还不急着吐, 更恶心的还在后面:

OPPO Reno 3 / Reno 3 Pro 中国发表,支援 5G 网路、摄录功能升级

OPPO 从年初发表 Reno 系列第一代,到年末 Reno 已经迎来了第三代成员 Reno 3 / Reno 3 Pro,锁定即将到来的 5G 市场,并提供强大的摄录功能,中国售价 3999 元人民币起,台湾上市时间尚未公布。 2020 年被称为 5G 元年,各家厂商从今年开始陆陆续续推出支援 5G 的手机,而在高通和联发科发表了新年度的 5G 处理器之后,搭载着新 5G 处理器的机种也登场了。除了先前介绍过的红米 K30 5G 版之外,OPPO 也在年末推出了 OPPO Reno 3 和 Reno 3 Pro,两款皆支援 5G 规格,OPPO Reno 3 Pro 甚至还支援 5G+WiFi 双通道,让上网速度更快。 ▲ OPPO Reno 3 Pro 共有日出印象、蓝色星夜、月夜黑与雾月白四种颜色,容量则有 8GB+128GB 及 12GB+256GB 两种版本。 ▲ OPPO Reno 3 有日出印象、蓝色星夜、月夜黑、月光白四种配色,并提



「虽然配对过程一定要透过 usb, 但只要配对过之后, 那个装置就可以透过 usb 或 wifi 操作你的手机, 就算你把 wifi 同步功能关掉也没用。 这意谓著一名骇客只需要争取到配对的几秒钟 usb 连线, 之后只要有网路就可以无限期下载你的个人资料。」



所谓的 「有网路就可以...」 指的应该是与你在同一个 wifi 区网或同一个电信数据区网。 所以他又补充: 骇客 (或是诸如 NSA 之类的政府监控机关) 还可以利用 「已知的无线网路」 强迫你的手机加入他的网路, 或是若能成功入侵电信业者, 也就能够透过电信数据网路操作你的手机。



以上这些现象, 完全不是 「程式设计的疏忽」 所能解释的。 任何一位具有正常水准资安常识的程式设计师, 都不可能犯这种错误, 更何况这个 lockdownd 服务如此地重要, 参与开发的必然是苹果公司众多菁英当中的超级菁英。 不~可~能~ 是疏忽。 在我看来, 这些就是刻意开启的后门无误。 Zdziarski 又丢下了更可怕的一句话:



「还有几个我不能够公开说的后门, 可以让攻击者从你的装置下载你个人资讯, 不管你有没有启用备份加密机制、 不管你的手机是否进入锁定状态。」



Zdziarski 的那篇文章贴出的时间, 大约也就是 Snowden 爆料 NSA 的 PRISM 等等监听机制的前后。 而苹果也在此时新推出的 iOS 7 上面加上了 「usb 连线时会询问用户是否同意」 的机制, 但对上述其他问题都没有处理。 到了 2014 年, 甚至已有 简体中文教学文解说此一 "漏洞"。 Sabri 的文章及补救教学最早是 2015 年 4 月张贴出来的; 最后一次更新是 2016 年 1 月。 直到今天, 他的文章还是这么说的: 「已经联络过苹果了, 但他们却从未回应。」 会不会是他后来没再维护这个网页了呢? 我在搜寻的过程当中, 感到很诡异: 这么严重的 "漏洞", 竟然很难找到主流媒体或资安媒体的报导。 从 2018 年 5 月的一个 quora 提问 跟 2019 年 5 月的一个 slackexchange 提问 看来, 苹果应该是到了晚近依旧没有把这个 "漏洞" 封起来。



[12/9 下午] 噗友 @irvinfly 找到 2018 年 4 月 关于 Trustjacking 的报导, 描述的基本上就是 62078 后门。 文中提到 iOS 7 的补救方式, 但也指出苹果对其他的问题依旧没有处理:



「(看到 "是否信任" 讯息时) 用户被误导, 以为这(信任)只在实体连线时有效, 所以就假设拔线之后他的私人资料就安全了。 ... 攻击者可以利用这个漏洞在受害装置上安装恶意的 apps, 甚至可以把既有的 app 换成一个修改过的版本, 看起来跟原来的 app 一模一样, 但其实却可以在 app 开启时监控用户, 甚至可以利用未公开的 API 全程 (不限 app 开启时的意思?) 监控其他活动。
...
在我们以尽责的方式 (意指先私下通知, 隔一段时间后才公开此文) 向苹果揭露之后, 苹果 (在 iOS 11) 加了一个机制, 确认只有 iOS 装置用户才能选择信任陌生电脑。 方式是在用户确认信任一部电脑时, 要求用户输入密码。 如图所示, 用户看到的讯息依旧会令他误以为断线之后就可以确保他的私密资料是安全的。 ... 苹果并没有全面性地回应 Trustjacking 的问题。 一旦用户选择信任那部有问题的电脑, 本文所描述的其他攻击照样继续有效。」



且让我用一个简单的譬喻来略过技术细节, 帮你指出问题的核心。



  1. 2010 年 (或更早), 一小个自由软体社群发现: 只需要在正门 (usb) 喊出正确的通关密语 (所有 iPhone 通用的; 与你的密码无关), 就可以从进入你家 (iPhone)。 只要这么进过一次, 从此以后就可以从后门 (好吧,改一个较中性的词) 侧门 (也就是 wifi) 任意自由进出。
  2. 2013 年苹果释出 iOS 7。 此后凡是有陌生人要从正门进入你家, 你都会被通知, 必须你同意, 他才能进来。
  3. 2018 年赛门铁克把这个 "漏洞" 通知苹果, 苹果的处置是: 以后凡是有陌生人要从正门进入你家, 你都会被通知, 而且你需要拿出钥匙 (密码) 才能放他进来。

所以到了 2019 年的现在, "漏洞" 依旧存在: 陌生人只需要骗你同意过一次, 光明正大地从正门进来、 让你看着他从正门离开, 然后你就会安心地进卧房睡觉了。 之后, 他依旧可以不定时地、 不惊扰你地从侧门进你家。 十年前就公开的漏洞, 就连 Symantec 这样重量级的公司在 (已经太晚了的) 2018 年向苹果的回报, 依旧被苹果顾左右而言他应付掉了。 我个人不相信苹果没有能力处理这个拖了十年的问题。 我认为苹果根本就不愿意处理, 因为这是它刻意留的后门。



撰文过程发现几件引人遐想的事, 也顺便记载。 维基百科 写道: 「苹果的 iOS 采取了多个资安措施以减小攻击面, 包含不再允许装置自动挂载 usb 硬碟, 也释出安全更新以修补诸如 Mactans 所提出的漏洞」 但却并未提供苹果安全更新公告的相关连结。 而且「自动挂载」根本就不是这个 "漏洞" 的重点啊! 想要用网路时光机手动备份 Zdziarski 那篇文章时, 网路时光机说: This URL has been excluded from the Wayback Machine. 我只好自己手动备份: 文字版、 图片版。 2017 年, 苹果延揽 iPhone 破解专家 Jonathan Zdziarski, 而 Zdziarski 也关闭了他的 twitter 帐号。



网友评论