1
| 本文作者: 謝幺 | 2016-12-05 08:36 |
想必讀者們已經(jīng)在雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))看到了關(guān)于iOS 10.1.1 系統(tǒng)“激活鎖”被繞過漏洞的報(bào)道(見于雷鋒網(wǎng)昨日?qǐng)?bào)道:《iOS 10.1發(fā)現(xiàn)新漏洞:可繞過“激活鎖”強(qiáng)行進(jìn)入主屏》)
本著求真和好奇的心態(tài),此次宅客頻道將帶領(lǐng)讀者們講述此次事件的來龍去脈、破解流程以及相關(guān)細(xì)節(jié),試圖將完整的故事呈現(xiàn)給讀者們,讓讀者了解到:
漏洞是什么,可導(dǎo)致何種后果?
這個(gè)漏洞最早是如何被發(fā)現(xiàn)的?
復(fù)現(xiàn)漏洞的具體步驟是怎樣的?
我們是否會(huì)受影響,該怎么做?
從iOS 7開始,蘋果設(shè)備就具有一項(xiàng)“激活鎖”功能, 當(dāng)用戶的設(shè)備不慎被偷,只要激活"丟失模式”(Lost mode),盜竊者在沒有得到合法機(jī)主許可就無法激活設(shè)備到正常工作狀態(tài),這使得丟失的蘋果設(shè)備很難被直接轉(zhuǎn)賣,不僅提高安全性還降低了失竊率。
這也是許多人在丟失蘋果設(shè)備后都收到釣魚短信及郵件的原因——盜竊者試圖騙取APPID賬號(hào)密碼來解鎖設(shè)備。
然而,此漏洞的出現(xiàn),意味著任何人都可以繞過“激活鎖”直接重置該設(shè)備,讓丟失模式形同虛設(shè)!盜竊者可以利用該漏洞將一些非法獲得的設(shè)備直接解鎖后重新售賣或自行使用。簡而言之,當(dāng)你的設(shè)備丟失,你更難將它找回了。
那么這個(gè)漏洞是如何被發(fā)現(xiàn)的呢?
據(jù)外媒報(bào)道,該漏洞最早是由印度安全專家赫門特·約瑟夫(Hemant Joseph)發(fā)現(xiàn)的,于是宅客頻道(公眾號(hào):宅客頻道)通過博客了解到破解的全部操作流程。
赫門特給朋友網(wǎng)購了一個(gè)iPad,哪知設(shè)備剛到手,卻發(fā)現(xiàn)被開啟了“丟失模式”,發(fā)現(xiàn)連接WiFi之后,設(shè)備會(huì)要求輸入之前機(jī)主的APPID賬號(hào)密碼。赫門特這才知道,自己花了許多時(shí)間挑選iPad,最后卻買回來一塊“磚頭”——他覺得自己被徹頭徹尾地耍了,簡直不能忍!
“自己動(dòng)手,豐衣足食”,作為安全專家的赫門特決定發(fā)揮自己的聰明才智對(duì)iPad進(jìn)行破解,他立刻想到了讓設(shè)備緩沖區(qū)溢出的方法。
以下為赫門特個(gè)人博客中對(duì)破解過程的描述:
我在WiFi網(wǎng)絡(luò)選項(xiàng)中,選擇“連接另一個(gè)網(wǎng)絡(luò)”。
跳轉(zhuǎn)到一個(gè)要求輸入用戶名的登錄框。
以上只有一個(gè)輸入字段,如果有字符限制的話,比較難引發(fā)內(nèi)存緩沖區(qū)溢出。但如果點(diǎn)擊“安全選項(xiàng)”,選擇安全協(xié)議WEP,就有另一個(gè)WPA WPA2企業(yè)版的選項(xiàng)出現(xiàn)。
我選擇WP2企業(yè)版,這時(shí)會(huì)出現(xiàn)三個(gè)輸入框:名稱、用戶名和密碼,然后我很驚奇地發(fā)現(xiàn),這里居然沒有限制字符長度,可以肆無忌憚地輸入,真是太適合用來造成內(nèi)存緩沖區(qū)溢出的情況了!
一直復(fù)制粘貼輸入字符,直到設(shè)備卡住。
我等了一會(huì)兒,看看是恢復(fù)正常還是軟件崩潰,結(jié)果既沒有崩潰也沒有恢復(fù),一直卡著。又等了一會(huì),我按下了解鎖按鈕,結(jié)果它把我?guī)Щ氐揭婚_始的歡迎屏幕了 :(
WTF ?(心中一萬頭羊駝奔過)
第一次嘗試破解失敗后,赫門特沒有放棄,開始第二次嘗試:
思考了一會(huì)如何誘發(fā)程序崩潰讓它跳到主屏幕上,我想到了利用iPad外殼(iPad smart Case)的自動(dòng)喚醒功能來試試,因?yàn)榭梢岳盟倪@個(gè)特性:當(dāng)我們用蓋上外殼蓋來關(guān)閉屏幕,再打開外殼蓋,它會(huì)重現(xiàn)之前關(guān)閉之前的屏幕,繼續(xù)剛才的工作請(qǐng)求。
于是我重復(fù)了剛才的操作,在最后一步iPad卡死的時(shí)候,蓋上外殼蓋子,然后過一會(huì)兒再打開。
過了大概20~25秒,iPad出現(xiàn)了軟件崩潰,然后把我?guī)У搅酥髌聊唬瑥亩@過了所謂的“激活鎖”,成功!
由此可以看出,這里出現(xiàn)的漏洞的主要原因在于:連接WiFi時(shí)的輸入框限制輸入字符的長度,而在實(shí)際使用當(dāng)中,沒有人會(huì)使用一個(gè)超過1000個(gè)字符來當(dāng)賬號(hào)或密碼。
看到這里,可能有些讀者已經(jīng)想找一臺(tái)iPad來親身體驗(yàn)一把了,不過你們可能不會(huì)成功,因?yàn)榘l(fā)現(xiàn)該漏洞的印度專家赫門非常耿直,發(fā)現(xiàn)漏洞后立馬寫郵件告訴了蘋果官方,并很快得到了蘋果官方的回復(fù)。
蘋果很快推出了iOS 10.1.1 的版本更新,修復(fù)了該漏洞,因此該漏洞只可能在iOS 10.1 或者更早的版本中復(fù)現(xiàn)。
然而,“繞過風(fēng)波”并沒有就此結(jié)束。
Vulnerability Lab實(shí)驗(yàn)室的研究人員也對(duì)此問題進(jìn)行分析后,發(fā)現(xiàn)利用屏幕旋轉(zhuǎn)和Night Shift(自動(dòng)調(diào)整屏幕色溫)功能可在iOS 10.1.1系統(tǒng)中重現(xiàn)這個(gè)漏洞。
他們提供了一段成功破解的視頻:
宅客頻道發(fā)現(xiàn),在視頻演示中,主要區(qū)別于破解iOS 10.1繞過漏洞的地方主要在于:
輸入的字符使用了emoji表情等特殊字符
在最后一個(gè)中反復(fù)使用了智能外殼和屏幕旋轉(zhuǎn)功能
需要很精準(zhǔn)地把握好關(guān)鍵操作的時(shí)間點(diǎn):在某個(gè)瞬間設(shè)備會(huì)出現(xiàn)不到一秒的主屏幕,這時(shí)需要適時(shí)按下Home鍵才可以完全繞過激活鎖,這一時(shí)機(jī)很難把握。
宅客頻道編輯找來了一個(gè)裝載iOS 10.1.1系統(tǒng)的iPad mini 2 , 嘗試復(fù)現(xiàn)該漏洞,但不知是由于沒有把握好時(shí)機(jī),嘗試多次后并沒有成功解鎖設(shè)備。然而在國外社交媒體上有網(wǎng)友表示自己按照視頻演示,成功破解了iPad mini 2(同樣嘗試了好幾次)。
目前,宅客頻道還沒有發(fā)現(xiàn)任何成功利用此方式破解iPhone設(shè)備的案例。在國外一名研究員安德魯·坎寧安的報(bào)道中,他也發(fā)現(xiàn)了相同的情況:
根據(jù)這個(gè)視頻,我們能夠在運(yùn)行iOS 10.1.1的iPad Mini 2上重現(xiàn)該問題,然而在我們的測(cè)試中,我們無法在運(yùn)行iOS 10.1.1 的iPhone 5設(shè)備中重現(xiàn)這個(gè)bug,在實(shí)驗(yàn)中,iPhone沒有向iPad那樣旋轉(zhuǎn)為橫屏模式,也沒辦法用智能外殼來控制屏幕的開關(guān)。
由此看來,該漏洞在iPad上也需要一定的技巧才能復(fù)現(xiàn),而在iPhone上幾乎無法實(shí)現(xiàn),因此人們其實(shí)并不必為這個(gè)漏洞太過擔(dān)心,并且相信蘋果公司也將會(huì)在接下來推出的iOS 10.2的版本更新中修復(fù)該問題。
針對(duì)此問題,國外相關(guān)安全機(jī)構(gòu)給出了一些建議:
當(dāng)蘋果為這個(gè)錯(cuò)誤提供了一個(gè)補(bǔ)丁后,盡快安裝它。
日常蘋果設(shè)備丟失,對(duì)方可能不會(huì)去惡意破解,但盡可能為之設(shè)置一個(gè)安全的PIN碼或鎖屏密碼,以確保安全。
不過對(duì)于此次“激活鎖”繞過漏洞,宅客頻道有個(gè)更直接有效的終極建議:看好你的機(jī)器設(shè)備,別把它弄丟了。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
