2016年iOS公开可利用漏洞总结

news2024/11/15 16:53:27

0x00 序

iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开并且可被利用的漏洞,本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来一些帮助。

0x01 iOS 10.1.1 公开的可利用漏洞

1. mach_portal攻击链:该攻击链是由Google Project Zero的Ian Beer公布的。整个攻击链由三个漏洞组成:损坏的内核port的uref可导致任意进程的port被越权替换(CVE-2016-7637),powerd任意port替换可导致DoS(CVE-2016-7661),因为set_dp_control_port没有上锁导致的XNU内核UaF(CVE-2016-7644)。

攻击者先使用CVE-2016-7637将launchd与”com.apple.iohideventsystem”系统服务具有发送权限的port替换成自己控制的进程的port,并攻击者还具有该port的接收权限。然后,攻击者利用CVE-2016-7661对powerd这个进程进行DoS,使其重启。在启动过程中,因为powerd的启动需要用到”com.apple.iohideventsystem”系统服务,于是将task port发送给了这个系统服务。但因为攻击者利用之前的CVE-2016-7637漏洞获取了”com.apple.iohideventsystem”系统服务port的接收权限,因此攻击者获得了powerd的task port,从而控制了具有root权限并且在沙盒外的powerd进程。攻击者随后利用powerd进程的task port获取到了host_priv port,然后利用host_priv port触发因set_dp_control_port没有上锁而导致的XNU内核UaF(CVE-2016-7644)漏洞,从而控制了kernel task port。攻击者在获取了kernel task以后,就可以利用系统提供的mach_vm_read()和mach_vm_write()去进行任意内核读写了。

2016年12月22日,qwertyoruiop在Ian Beer公布的mach_portal攻击链的基础上,加入了KPP的绕过、内核patch和cydia的安装,并在自己的twitter上发布了iOS 10.1.*的越狱。

0x02 iOS 9.3.4 公开的可利用漏洞

1. PEGASUS 三叉戟攻击链:该攻击链是在对阿联酋的一位人权活动家进行apt攻击的时候被发现。整个攻击链由三个漏洞组成:JSC远程代码执行(CVE-2016-4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。

在浏览器漏洞方面,由于iOS系统的JavaScriptCore库的MarkedArgumentBuffer类在垃圾回收的时候可能会造成内存堆破坏,导致黑客可以使用该漏洞泄露对象地址以及执行任意指令。在内核漏洞方面,由于XNU内核的OSUnserializeBinary()函数在反序列化用户态传入的数据时没有对OSNumber的长度进行校验,导致可以泄露内核的栈信息。利用精心构造的OSString对象,还可以触发UAF漏洞并导致内核代码执行(具体的分析可以参考我们之前的文章:基于PEGASUS的OS X 10.11.6本地提权:https://jaq.alibaba.com/community/art/show?articleid=531)。利用该攻击链可以做到iOS上的远程完美越狱,可以说是近几年来影响最大的iOS漏洞之一了。并且在未来,极有可能出现利用该漏洞的iOS大面积挂马事件。

利用PEGASUS对iOS 9.3.* 32位设备越狱的DEMO:

http://v.youku.com/v_show/id_XMTg4NzA5OTEwOA==.html

0x03 iOS 9.3.3 公开的可利用漏洞

1. IOMobileFramebuffer Heapoverflow 内核漏洞: 该漏洞存在于IOMobileFramebuffer这个内核服务中。在IOMobileFramebuffer::swap_submit(IOMFBSwap *)这个函数中,因为没有对用户态传入的IOMFBSwap数据进行校验,从而导致内核堆溢出。利用该漏洞可以在沙盒内(不需要沙盒逃逸)直接对内核进行攻击,并完成非完美越狱。该漏洞在iOS 9.3.3盘古越狱(女娲石)中被使用。

0x04 iOS 9.3.2 公开的可利用漏洞

1. WebKit RCE heapPopMin 远程代码执行漏洞: 因为Webkit模块中的WebCore ::TimerBase::heapPopMin()存在内存破坏漏洞,利用该漏洞可以对iOS设备进行远程攻击。当用mobile safari浏览有恶意攻击代码的网页的时候,safari将会被黑客控制。但要注意的事,被控制的仅仅是safari,想要获取用户数据还需要进行沙盒逃逸,想要控制手机还需要对内核进行攻击。另外,因为webkit不光存在于iOS中,因此该漏洞还被用于PS4,Kindle等设备的越狱。

2. GasGauge 条件竞争内核漏洞: 该漏洞存在于GasGauge这个内核服务中,因为在free内存的时候没有进行加锁操作,黑客可以开多个线程进行free操作,当竞争成功的时候可以造成double free的漏洞,随后可以转化为任意zone的UAF并控制内核,并完成非完美越狱。需要注意的是,该内核服务并不能在沙盒内直接访问,所以想要利用该漏洞,需要先做到沙盒逃逸。

0x05 iOS 9.3.1 公开的可利用漏洞

1. inpuTbag Heapoverflow 内核漏洞: 该漏洞是阿里移动安全的OverSky团队发现并公布的,该漏洞存在于IOHIDDevice这个内核服务中,因为没有对Input report的szie做检测从而造成内核堆溢出。利用该漏洞可以对内核进行攻击,并完成非完美越狱。需要注意的是,该内核服务需要在沙盒外并拥有"com.apple.hid.manager.user-access-device"这个entilement才能访问,所以想要利用该漏洞,需要先做到沙盒逃逸,然后绕过entilement的检测才能利用。

0x06 iOS 9.1 公开的可利用漏洞

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 该漏洞存在于com.apple.PersistentURLTranslator.Gatekeeper这个系统服务中,在盘古越狱中被使用,通过利用改漏洞,一个在沙盒内的app可以做到mobile权限的沙盒外任意文件读写,配合dyld的漏洞可以做到沙盒外的任意代码执行。

2. CVE-2015-7084 IORegistryIterator 内核漏洞: 该内核漏洞存在于IOKit中,因为IORegistryIterator对象没有线程互斥的保护,导致对成员进行操作的时候可能出现错误。该漏洞可以在沙盒内直接通过race condition触发, 随后转化为内核信息泄露以及内核的代码执行,并做到非完美越狱。

0x07 iOS 9.0 公开的可利用漏洞

1. CVE-2015-6974 IOHIDFamily 内核漏洞:该漏洞存在于IOHIDResource这个内核服务中,在terminateDevice后,系统没有将device设置为NULL, 从而造成UAF漏洞。该漏洞在盘古iOS 9.0越狱中被使用,利用该漏洞可以做到内核的任意读写,并完成非完美越狱。需要注意的是,该内核服务并不能在沙盒内直接访问,所以想要利用该漏洞,需要先做到沙盒逃逸。

0x08 总结

可以看到2016年的公开可利用的漏洞数量是非常巨大的,相对2015年可以说是有了一个指数级的增长。虽然苹果更新系统的速度非常快并且无法降级,但随着老设备(iPhone 4s及以下已无法升级iOS 10)越来越多,并且用户对新系统期望越来越低,iOS设备的更新率已经变得非常缓慢。

根据某专业移动分析平台2016年12月的数据可以看到,仅有3.28%的设备更新了最新版的iOS 10.2。这意味着96.72%的设备都有被最近刚发布的mach_portal漏洞攻击的风险。我们相信,在新的一年,iOS的漏洞数量还会持续增加,并且随着漏洞利用技术的公开,黑灰产也极有可能利用漏洞对用户进行攻击,希望广大用户一定要注意自己iOS设备的安全。

最后,对本文提到的漏洞感兴趣的同学可以在我们的github上学习相关的资料:GitHub - zhengmin1989/GreatiOSJailbreakMaterial: Great iOS Jailbreak Material! - I read hundreds of papers and PPTs. Only list the most useful materials here!

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/488133.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【LeetCode】139. 单词拆分

139. 单词拆分(中等) 思路 首先将大问题分解成小问题: 前 i 个字符的子串,能否分解成单词;剩余子串,是否为单个单词; 动态规划的四个步骤: 确定 dp 数组以及下标的含义 dp[i] 表示 s…

Zero-ETL、大模型和数据工程的未来

编者按:本文探讨了数据工程领域的未来趋势和挑战,以及其不断变化、甚至经常出现“重塑”的特点。在数据工程领域,大数据的性能、容量提升总是有一定的上限,每一次进步都会带来一定的技术提升,从而提高上限。但是很快我…

解锁采购系统数字升级?来看看云时通SRM!

疫情影响下,全球经济一体化使得企业在供应商的管理上面临着巨大挑战,传统采购方法已经不足以支持企业管理和竞争,企业采购管理急需数字化转型。 相较于传统采购方法,目前成功的供应商系统管理,还需要具有更多的市场要…

IT圈最近比较火热的技术都是哪些?

前言 如果现在要问什么行业最火,毋庸置疑,会有很多人第一反应回答是IT行业。众所周知,近些年互联网行业的高速发展,IT技术不断推陈出新,各种技术更新迭代周期越来越快,涌入IT技术开发的人员也是成倍增长&am…

QT基础铺垫

1.qt定位 qt在整个课程体系中起到以下作用 1.c理论的实践课 2.图形用户界面GUI开发 3.一个独立的就业方向 3.qt特性 qt经常被当作是一个基于c语言的gui开发框架,但是这并不是qt的全部,除了开发界面外,qt还包含了很多其他功能&#xff1…

C++最后一个数组元素后加不加逗号,的问题(C++11 及以上的标准中,最后一个元素后面可以加逗号,也可以不加)

这代码看得我有点疑惑,最后一个元素后咋有个逗号呢?也没报错? 原因: 在 C11 及以上的标准中,最后一个元素后面可以加逗号,也可以不加。因此,上述代码可以写成以下两种形式: std::v…

零基础学SQL(十三、事务)

目录 前置建表 ​编辑 一、什么是事务 二、事务特性ACID 1、原子性(Atomicity) 2、一致性(Consistency) 3、隔离性(Isolation) 4、持久性(Durability) 三、事务控制 1、ROLLBACK 2、COMMIT 使用 set autocommit0;命令修改默认提交方式为FALSE 前置建表 CREATE TABLE…

无距离障碍:远程桌面Ubuntu实现全球办公

目录 前言 视频教程 1. ubuntu安装XRDP 2.局域网测试连接 3. Ubuntu安装cpolar内网穿透 4.cpolar公网地址测试访问 5.固定域名公网地址 [TOC] 转载自远程穿透文章:Windows通过RDP异地远程桌面Ubuntu【内网穿透】 前言 XRDP是一种开源工具,它允许…

Android开发中的前五个代码异味:Jetpack Compose UI和MVVM

Android开发中的前五个代码异味:Jetpack Compose UI和MVVM 代码异味是指软件代码中潜在问题的指标,可能并不一定是错误,但可能会导致问题,如增加维护复杂性、降低性能或降低可读性。我们将探讨Android开发中的前五个代码异味&…

【C++】布隆过滤器

文章目录 布隆过滤器提出布隆过滤器概念布隆过滤器应用场景设计思路:布隆过滤器的插入布隆过滤器的查找布隆过滤器删除BloomFilter.h布隆过滤器优点布隆过滤器缺陷 布隆过滤器提出 我们在使用新闻客户端看新闻时,它会给我们不停地推荐新的内容,它每次推荐时要去重,去掉那些已经…

Leetcode力扣秋招刷题路-0902

从0开始的秋招刷题路,记录下所刷每道题的题解,帮助自己回顾总结 902. 最大为 N 的数字组合 给定一个按 非递减顺序 排列的数字数组 digits 。你可以用任意次数 digits[i] 来写的数字。例如,如果 digits [‘1’,‘3’,‘5’],我…

一图看懂 requests 模块:用Python编写、供人类使用的HTTP库, 资料整理+笔记(大全)

本文由 大侠(AhcaoZhu)原创,转载请声明。 链接: https://blog.csdn.net/Ahcao2008 一图看懂 requests 模块:用Python编写、供人类使用的HTTP库, 资料整理笔记(大全) 摘要模块图类关系图模块全展开【requests】统计常量str 模块3 w…

小红书违禁词有哪些,小红书违禁词汇总分享

大家都知道小红书平台对于违禁词的管控一向非常严格,笔记中一旦出现就可能被限流,今天为大家整理了一份小红书违禁词汇总,希望能够帮助大家避免被限流。 小红书违禁词汇总大致有以下几个分类,大家平时写笔记的时候最好避开这些词或…

HashMap底层实现原理

HashMap HashMap 最早出现在 JDK 1.2中,底层基于散列算法实现,它是一个key-value结构的容器。 是一个key-value的映射容器,key不重复jdk8中的HashMap基于数组链表红黑树实现不保证键值的顺序可以存入null值非线程安全,多线程环境…

log4j2.xml配置解析

log4j2.xml文件的配置大致如下: Configuration:为根节点,有status和monitorInterval等多个属性 status的值有 “trace”, “debug”, “info”, “warn”, “error” and “fatal”,用于控制log4j2日志框架本身的日志级别&#x…

python+vue+nodejs旅游资源信息网站

1.系统登录:系统登录是用户访问系统的路口,设计了系统登录界面,包括用户名、密码和验证码,然后对登录进来的用户判断身份信息,判断是管理员用户还是普通用户。 2.系统用户管理:不管是…

如何选择正确的数据可视化图表

数据可视化是数据分析的重要组成部分,因为它们能够以图形格式有效地汇总大量数据。有许多可用的图表类型,每种类型都有自己的优势和用例。分析过程中最棘手的部分之一是选择使用这些可视化效果之一的正确方法来表示数据。 在本文中,我们根据需…

基于redis和threadlocal实现登录状态校验和拦截

1.流程图 单机节点下的登录状态校验 分布式节点下的登录状态校验 2.代码实现 实现步骤分为如下几步 实现WebMvcConfigurer接口,添加拦截器定义拦截器,需要配置两个interceptor,第一个用于刷新token,写threadlocal&#xff…

AI绘图实战(八):制作游戏人物原稿三视图 | Stable Diffusion成为设计师生产力工具

S:AI能取代设计师么? I :至少在设计行业,目前AI扮演的主要角色还是超级工具,要顶替?除非甲方对设计效果无所畏惧~~ 预先学习: 安装及其问题解决参考:《Windows安装Stable Diffusion …

【机器学习 - 10】:PCA和梯度上升法

文章目录 了解PCA使用梯度上升法求解第一主成分使用梯度上升法求解第二主成分求数据前n个主成分使用sklearn中封装的PCA使用真实数据集 了解PCA PCA的概念:主成分分析(Principal Component Analysis,PCA),是一种统计方法。通过正交变换将一组…