研究人员发现可在iPhone关机后运行恶意软件的新方法。
技术分析
LPM(low power mode,低电量模式)特征是2021年在iOS 15中引入的新特征。iPhone关机后在LPM模式下,大多数无线芯片仍然处于运行中。iPhone的Find My network功能仍然是正常工作的。如果电池电量低,iPhone自动关机,并进入电量备用(power reserve mode)低电量模式。在最新的iPhone功能中,蓝牙、NFF、UWB等在关机后仍然保持运行,所有的无线芯片都可以直接访问Secure Element (SE)。用户仍然可以使用钱包功能,如访问信用卡。
iPhone关机时会显示一个消息:iPhone在关机后仍然可以被发现。Find My在用户手机丢失或被盗后帮助用户定位其手机,即使手机关机或处于power reserve mode模式。使用Find My network网络在低电量甚至关机情况下追踪丢失的设备成为可能。当前支持UWB的设备包括iPhone 11、iPhone 12和iPhone 13。
蓝牙和UWB芯片与NFC芯片中的Secure Element (SE)硬件相连,SE负责保存LPM中的秘密数据。LPM支持是在硬件中实现的,无法通过修改软件组件的方式移除。由于当前LPM实现是相对透明的,研究人员发现iPhone在关机时初始化Find My会失败,与iPhone展示的信息并不一致。但研究人员发现蓝牙固件既未签名也未加密。因此,在最新的iPhone上,无线芯片在关机后将不再可信。这是一个新的威胁模型。
利用该漏洞,具有特权的攻击者就可以创建能够在iPhone蓝牙芯片上执行的恶意软件,即使iPhone处于关机状态。攻击者必须能够与固件通过操作系统进行通信,修改固件镜像,在LPM芯片上实现代码执行。
研究人员的思路是修改LPM应用线程来嵌入恶意软件,比如修改受害者Find My 蓝牙广播,使攻击者可以保持与目标的远程连接。
建议
研究人员将该问题报告给苹果公司后,但苹果并未给出反馈。LPM支持是基于iPhone的硬件的,因此无法通过系统更新来移除,会对整个iOS安全模型带来持续性的影响。
研究人员建议苹果公司使用基于硬件的交换机来断开与电池的连接,以缓解固件级攻击引发的监控威胁。
总结
LPM特征的设计是功能驱动的,并未考虑应用的潜在安全威胁。从设计原理看,iPhone在关机后使用Find My功能可以追踪设备。但从实现情况来看,在蓝牙固件中实现是不安全的,无法应对攻击者的潜在修改。
相关研究成果将在5月举行的ACM WiSec 2022安全大会上展示。论文下载地址:https://arxiv.org/pdf/2205.06114.pdf
(文章来源:嘶吼专业版,参考:https://thehackernews.com/2022/05/researchers-find-way-to-run-malware-on.html)