iOS Trustjacking–一個很危險的iOS漏洞

簡介

對iphone用戶來說，最大的噩夢應該就是設備永久被獲取控制權，包括記錄和控制所有的活動。本文講述一種新的漏洞叫做Trustjacking，攻擊者利用該漏洞可以完成上面描述的攻擊，並獲取iOS設備永久控制權。

該漏洞利用一個iOS的功能叫做iTunes Wi-Fi sync，這允許用戶在沒有物理連接到電腦的情況下管理iOS設備。當iOS設備和電腦連接在同一網路中時，只要iOS設備所有者點擊一下，攻擊者就可以永久獲取設備的控制權。

相關漏洞和攻擊

過去也有利用未授權的USB連接來從手機設備中竊取隱私信息的文章。

在iOS 7之前，iOS設備連接到計算機上不需要設備所有者授權的。

Juice jcaking用這種特徵來從設備中竊取敏感信息，並安裝惡意軟體到受害者設備上。隨後，Apple在允許同步操作之前增加了彈窗提示，通過要求用戶授權來解決該問題。

Videojacking使用Apple連接器可被用作HDMI連接的特性，當iOS設備連接到惡意的充電器時，就可以對iOS設備錄屏。

上面提到的攻擊利用中，攻擊者都可以訪問用戶敏感信息，而主要的限制就在於只有當設備與惡意硬體物理連接的時候才可能實現，一旦斷開連接，攻擊就停止了。

Trustjacking則不然，攻擊者對設備獲取持久的控制權，即使設備與惡意硬體斷開連接，攻擊仍然可以進行。為了了解其工作原理，先看一下什麼是iTunes Wi-Fi sync。

iTunes Wi-Fi同步

iTunes Wi-Fi同步是iOS廣受好評的一個功能，iOS設備利用該特徵可以在不與計算機物理相連接的前提下與iTunes進行同步。

開啟iTunes Wi-Fi同步首先需要與計算機物理相連，然後選擇開啟通過Wi-Fi與iOS設備同步的選項。

Trustjacking – 工作原理

當iOS設備與計算機相連，用戶會被詢問是否信任連接的計算機。如果選擇信任計算機，那麼就可以通過標準的iTunes APIs與iOS設備通信。

這樣，計算機就可以在不需要用戶額外確認和沒有其他提示的情況下訪問設備上的照片，執行備份，安裝應用等等。一旦激活（開啟）了「iTunes Wi-Fi sync」功能，即使計算機與iOS設備斷開連接，只要都連在同一個網路，那麼設備之間的通信就可以繼續。還有一點就是，開啟iTunes Wi-Fi sync不需要受害者的同意，可以完全在計算機端執行完成。

通過遠程不斷請求截屏或錄屏都可以獲取設備屏幕的實時流。

除非初始化階段失敗，授權惡意計算機外，沒有其他的機制可以防止這種持續的訪問。而且，授權計算機在USB斷開後繼續訪問設備也沒有向用戶發出任何通知。

POC

假設下面的一個場景：受害者將手機連到機場的一個免費充電器上，手機上出現一個彈窗消息，請求受害者同意設備連接。那麼同意該請求看起來非常合理，因為受害者想要充電，而該服務看起來就是合法的。而且同意以後也沒有其他可疑的事情發生。

Trustjacking POC視頻地址：

https://embed.ustudio.com/embed/DTkChBHtXcx2/UfREnMM6AY40

攻擊流

從用戶的角度看，他只是將設備連接到一個充電器或計算機上，而求選擇信任它而已。

用戶會覺得只有當設備與計算機物理相連的時候才會有可能發生攻擊，所以斷開連接就可以防止對私有數據的訪問。即使設備連接的時間很短，攻擊者也足以執行一些步驟來保證當物理連接斷開以後，設備上所有的動作都是可見的。

攻擊者需要執行下面的步驟：

·允許設備連接到iTunes；

·開啟iTunes Wi-Fi sync.

惡意軟體可以自動化的執行上面的步驟。他們也不需要受害者的任何同意，也不會觸發設備上任何的提示產生。一旦這些動作完成，設備就不需要與攻擊者的硬體物理相連了。完成這些步驟後，一旦受害者和攻擊者連接到同一個網路，攻擊者就可以遠程控制設備了。

為了查看受害者的屏幕，攻擊者需要安裝與受害者設備iOS版本相匹配的開發者鏡像，然後重複截屏，並實時查看設備屏幕。安裝開發者鏡像可以通過Wi-Fi完成，而不需要再與設備物理相連了。雖然重啟可能會移除設備的開發者鏡像，但黑客可以繼續訪問和安裝。

進階

除了遠程查看受害者設備的屏幕，Trustjacking還允許攻擊者做點別的。

另一個攻擊者可以利用的功能是iTunes備份。通過創建設備內容的備份，攻擊者可以獲取很多的私人信息，比如：

·照片；

·SMS，歷史記錄；

·APP數據等。

為了獲取信息，需要對iTunes備份進行分段理解。

備份文件含有許多的元數據文件和備份文件本身。每個文件都保存在SHA1路徑下（%domain%-%relativePath%），目錄名是哈希值的前兩個16進位字母。比如，一張路徑為Media/DCIM/100APPLE/IMG_0059.JPG的照片會被保存在b1/b12bae0603700bdf7719c3a65b22ca2f12715d37目錄下，其中b12bae…就是CameraRollDomain-Media/DCIM/100APPLE/IMG_0059.JPG的哈希值。所有這些備份文件都在Manifest.db文件中有說明，Manifest.db是SQLite3 資料庫文件，可以通過下面的方式進行查詢：

`SELECT * FROM Files WHERE relativePath like "%Media/DCIM%" ORDER BY relativePath;

上面的查詢命令會列出所有備份的照片，包括其哈希值。

讀取SMS / iMessage需要對另一個SQLite3資料庫進行分段，該資料庫位於3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28（SHA1的哈希值是與HomeDomain-Library/SMS/sms.db文件相同的)。

iOS Trustjacking – 備份和恢複利用

攻擊者還可以通過訪問設備來安裝惡意應用，甚至用修改的應用來替換已經安裝好的APP，不僅能在用戶使用APP時進行監控還可以利用一些私有的API來監控用戶的其他活動。下面是視頻是教我們如何識別設備的APP並用修改過的APP進行替換。

備份和恢複利用視頻：

https://embed.ustudio.com/embed/DTkChBHtXcx2/UMQhu5XRecFM

iOS Trustjacking – 替換APP利用

攻擊只局限於Wi-Fi嗎？

上面描述的工具需要被攻擊的設備和發起攻擊的計算機連接到同一個網路。這意味著被攻擊的設備和連接的Wi-Fi網路的距離要近一些，但這不是一個必須項。利用VPN伺服器將設備與攻擊者的計算機連接到同一個網路，就解決了連接網路的距離服務，並可以實現隨時發起攻擊的目的。

iOS 11加入新機制

Apple在了解到這個漏洞後，在iOS 11中加入一個機制來確保只有設備的所有者才能選擇信任一個與之相連的新的計算機。這個過程是通過在選擇授權或信任計算機時加入輸入密碼來完成的。

如上圖所示，用戶被告知「該授權只與設備與計算機相連相關」，這讓用戶相信與設備斷開連接確保了沒有人可以訪問設備上的隱私數據。

所以說蘋果在iOS 11中採取的解決辦法並沒有解決Trustjacking的本質問題。一旦用戶選擇信任一個被黑的計算機，之後的漏洞利用過程就和上面描述的一樣了。

如果攻擊者選擇感染受害者的計算機而不是使用惡意充電器會怎麼樣呢？

惡意充電器攻擊流的一個限制是攻擊時間段的問題，而如果攻擊者的計算機變成了惡意單元，那麼攻擊時間段就變大了。Trustjacking的最大功效發生了設備擁有者的計算機被惡意軟體入侵。這樣的話，攻擊者的計算機一般都與iOS設備在一個比較近的距離。

解決方法

截止目前，還沒有辦法可以列出所有的可信計算機列表，然後選擇行地去撤銷。要確保安全，最好的辦法是清除所有的可信計算機列表：

Settings > General > Reset > Reset Location & Privacy

清除後，下次iOS設備與計算機相連時就需要重新授權了。

為了保護設備備份，避免使用Trustjacking攻擊獲取額外的用戶隱私信息，可以在iTunes中開啟加密備份並且選擇強密碼。

在手機上安裝一些安全防護軟體也可以避免一些攻擊。

對應用開發者來說，避免在iTunes備份中備份隱私數據可以減小數據被竊取的風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！