服务热线:4006 883 888

新闻动态
NEWS

上海市申博机械科技有限公司

服务热线:4006 883 888
公司地址:上海市鼎发新区观海大道111号富明商务中心18层
联系电话:021-68863918

邮 箱:Sunbet@006yb.com

当前位置:主页 > 新闻动态 > 行业新闻 >

行业新闻

让 iPhone 与 iPad 数秒内沦陷的 62078 苹果后门

时间:2019-12-27来源:申博太阳城浏览次数:

「如果微软像胖虎一样恶霸, 那么苹果比小夫阴险一百倍。」 我经常用这句话及 指纹解锁 一事来简短评论苹果电脑。 最近特别推荐两组搜寻关键词: 「生物辨识 国家机器」、 fingerprints usernames not passwords。 其他苹果后门案例比较难以三言两语解释给麻瓜听, 例如 finfisher、 MDM、 iMessage、 Find my iPhone 等等。 今天要谈的苹果 usb wifi 后门也是如此。

最近 美国政府突然再次呼吁勿使用公共USB充电站。 从 纽约时报的报导 里的连结跟关键词出发, 我简单摘要爬文心得: 透过 usb 充电入侵手机的方式, 通称为 juice jacking。 从实作的角度来看, 至少有两大类很不一样的方式。 一类是适用于攻击 android/iOS/windows/MacOS/linux 所有作业系统的 BadUSB -- 所以 任何人的 usb 充电线都应该要戴保险套 ; 另一类则是苹果的 usb wifi 后门, 也就是本文的主题。 本文的主要参考资料是资安专家 Jonathan Zdziarski 写的 How Juice Jacking Works, and Why It’s a Threat 跟 Sabri Haddouche 写的 How to finally disable this ******* Wi-Fi Sync port (62078) on iOS。

先谈一下 android 手机上一个很实用的机制。 我在课堂上都鼓励学生启用 android 手机的 adb 传档功能, 除了传档之外, 也可以 在电脑上实镜展演手机操作。 一旦启用, 每当手机与一部陌生电脑接上 usb 资料连线 (不含「仅与充电座进行电力连线」) 的时候, 手机都会跳出警告讯息, 问你是否要信任这部电脑。 一旦信任, 那部电脑就可以对手机为所欲为。 预设情况下, 信任是暂时的 (仅限这一次连线); 如果是自己的电脑, 当然就可以勾选永久信任。 如果你想要的话, android 手机也允许信任的电脑 透过 wifi 进行无线 adb 连线, 但我都劝学生及读者不要启用。 身为一位通识等级的资讯安全老师, 我认为 adb 连线机制这样的设计很正常合理。

苹果的 iphone 也有类似的机制。 但是跟 google 的公开透明 (提供 adb 连线文件与程式码) 形成强烈的对比, 苹果的连线机制甚至没有正式的名字, 我能找到的最好的相关关键词是 62078 (埠号) 或 lockdownd (手机那头的服务名称)。 所以高手们只好透过逆向工程 (还好目前 TPM 噩梦 尚未成真, 逆向工程尚属合法) 在 2010 年左右释出开放原始码的 libimobiledevice 函式库 让三大桌机作业系统皆可与 iOS 装置沟通, 而不必受限于苹果官方所提供的工具。

图片来源

以下引用 Zdziarski 那篇 2013 年 6 月的文章:

「iPhone 手机上有一个 lockdownd 随时倾听从 62078 埠传来的指令。 只要连到这个埠、 以正确的协定下指令, 即可启动手机上的诸多服务, 包含 (可以下载你个资的) 「备份」 功能及 (iTunes 会用到的) 「安装软体」 功能。 还有其他服务 (让电脑端) 可以启动封包监听以及用各种方式下载个资。 事实上其中有一些苹果的服务我只能称之为后门 -- 它可以从你的手机下载个资, 过程却毫不加密。 想要从 iOS 装置读资料出来或写东西进去, 都要靠这个关键服务 (lockdownd)。 从 2010 年起, 就有许多开发者与骇客把这程式码纳入他们各自的专案。 有些商业资安鉴识公司用这个服务从 iPhone 上捞出他们自家产品的资讯, 而有一些更狂野的骇客则拿它来偷裸照、 盗窃身份等等。」

当然, 其中一个 「应用」 就是 Juice Jacking -- 当你把 iPhone 连到一个陌生的 usb 充电座时, 不会想到墙后面可能是一部恶意的电脑, 正渴望着透过 62078 埠唤醒你手机上的 lockdownd 来替它服务

「最大的问题就是苹果的设计。 手机不会问用户是否要允许 (企图 usb 连线的) 装置与你配对。 它就这么直接帮你配对了。 每...一...次。 所以一连上线之后几秒之内, 就建立了一笔新的配对记录。 更糟的是, 这个配对记录就这么一辈子跟着你的手机, 除非用户决定要 (从 iCloud 的备份?) 还原 iPhone。 也就是说, (自从你上次还原之后) 任何曾经与你手上的手机 (在你有意识或无意识的动作下) 配对过的装置, 都可以存取你手机上的任何个人资料。 有没有觉得有一点恶心了呢?」

还不急着吐, 更恶心的还在后面:

倒数计时4天,澳本聪声称「即将解锁」百万枚比特币真的会流入市场吗?

4天后,也就是2020年1月1日,按照一份被称为「Tulip Trust(郁金香信托)」的信托基金文件约定,澳本聪(Craig Wright)将接受一个包含超一百万枚比特币的密钥。如若这笔即将被解锁的巨额财富真实存在,按照当前的比特币价格计算,其总市值接近80亿美元。按照澳本聪自己先前发表的「他在2020年后将只持有BSV」的言论,这笔数额惊人的比特币可能会集中涌入市场,如果这次澳本聪并没有在说谎,那4天后整个加密货币市场很可能会遭到「毁灭性打击」。 这份被称为「Tulip Trust」的信托基金文件,正式在Craig Wright前合伙人Dave Kleiman的家属在起诉其侵占Dave Kleiman遗产时提供的,文件显示,两人在加密货币诞生

「虽然配对过程一定要透过 usb, 但只要配对过之后, 那个装置就可以透过 usb 或 wifi 操作你的手机, 就算你把 wifi 同步功能关掉也没用。 这意谓著一名骇客只需要争取到配对的几秒钟 usb 连线, 之后只要有网路就可以无限期下载你的个人资料。」

所谓的 「有网路就可以...」 指的应该是与你在同一个 wifi 区网或同一个电信数据区网。 所以他又补充: 骇客 (或是诸如 NSA 之类的政府监控机关) 还可以利用 「已知的无线网路」 强迫你的手机加入他的网路, 或是若能成功入侵电信业者, 也就能够透过电信数据网路操作你的手机。

以上这些现象, 完全不是 「程式设计的疏忽」 所能解释的。 任何一位具有正常水准资安常识的程式设计师, 都不可能犯这种错误, 更何况这个 lockdownd 服务如此地重要, 参与开发的必然是苹果公司众多菁英当中的超级菁英。 不~可~能~ 是疏忽。 在我看来, 这些就是刻意开启的后门无误。 Zdziarski 又丢下了更可怕的一句话:

「还有几个我不能够公开说的后门, 可以让攻击者从你的装置下载你个人资讯, 不管你有没有启用备份加密机制、 不管你的手机是否进入锁定状态。」

Zdziarski 的那篇文章贴出的时间, 大约也就是 Snowden 爆料 NSA 的 PRISM 等等监听机制的前后。 而苹果也在此时新推出的 iOS 7 上面加上了 「usb 连线时会询问用户是否同意」 的机制, 但对上述其他问题都没有处理。 到了 2014 年, 甚至已有 简体中文教学文解说此一 "漏洞"。 Sabri 的文章及补救教学最早是 2015 年 4 月张贴出来的; 最后一次更新是 2016 年 1 月。 直到今天, 他的文章还是这么说的: 「已经联络过苹果了, 但他们却从未回应。」 会不会是他后来没再维护这个网页了呢? 我在搜寻的过程当中, 感到很诡异: 这么严重的 "漏洞", 竟然很难找到主流媒体或资安媒体的报导。 从 2018 年 5 月的一个 quora 提问 跟 2019 年 5 月的一个 slackexchange 提问 看来, 苹果应该是到了晚近依旧没有把这个 "漏洞" 封起来。

[12/9 下午] 噗友 @irvinfly 找到 2018 年 4 月 关于 Trustjacking 的报导, 描述的基本上就是 62078 后门。 文中提到 iOS 7 的补救方式, 但也指出苹果对其他的问题依旧没有处理:

「(看到 "是否信任" 讯息时) 用户被误导, 以为这(信任)只在实体连线时有效, 所以就假设拔线之后他的私人资料就安全了。 ... 攻击者可以利用这个漏洞在受害装置上安装恶意的 apps, 甚至可以把既有的 app 换成一个修改过的版本, 看起来跟原来的 app 一模一样, 但其实却可以在 app 开启时监控用户, 甚至可以利用未公开的 API 全程 (不限 app 开启时的意思?) 监控其他活动。
...
在我们以尽责的方式 (意指先私下通知, 隔一段时间后才公开此文) 向苹果揭露之后, 苹果 (在 iOS 11) 加了一个机制, 确认只有 iOS 装置用户才能选择信任陌生电脑。 方式是在用户确认信任一部电脑时, 要求用户输入密码。 如图所示, 用户看到的讯息依旧会令他误以为断线之后就可以确保他的私密资料是安全的。 ... 苹果并没有全面性地回应 Trustjacking 的问题。 一旦用户选择信任那部有问题的电脑, 本文所描述的其他攻击照样继续有效。」

且让我用一个简单的譬喻来略过技术细节, 帮你指出问题的核心。

  1. 2010 年 (或更早), 一小个自由软体社群发现: 只需要在正门 (usb) 喊出正确的通关密语 (所有 iPhone 通用的; 与你的密码无关), 就可以从进入你家 (iPhone)。 只要这么进过一次, 从此以后就可以从后门 (好吧,改一个较中性的词) 侧门 (也就是 wifi) 任意自由进出。
  2. 2013 年苹果释出 iOS 7。 此后凡是有陌生人要从正门进入你家, 你都会被通知, 必须你同意, 他才能进来。
  3. 2018 年赛门铁克把这个 "漏洞" 通知苹果, 苹果的处置是: 以后凡是有陌生人要从正门进入你家, 你都会被通知, 而且你需要拿出钥匙 (密码) 才能放他进来。

所以到了 2019 年的现在, "漏洞" 依旧存在: 陌生人只需要骗你同意过一次, 光明正大地从正门进来、 让你看着他从正门离开, 然后你就会安心地进卧房睡觉了。 之后, 他依旧可以不定时地、 不惊扰你地从侧门进你家。 十年前就公开的漏洞, 就连 Symantec 这样重量级的公司在 (已经太晚了的) 2018 年向苹果的回报, 依旧被苹果顾左右而言他应付掉了。 我个人不相信苹果没有能力处理这个拖了十年的问题。 我认为苹果根本就不愿意处理, 因为这是它刻意留的后门。

撰文过程发现几件引人遐想的事, 也顺便记载。 维基百科 写道: 「苹果的 iOS 采取了多个资安措施以减小攻击面, 包含不再允许装置自动挂载 usb 硬碟, 也释出安全更新以修补诸如 Mactans 所提出的漏洞」 但却并未提供苹果安全更新公告的相关连结。 而且「自动挂载」根本就不是这个 "漏洞" 的重点啊! 想要用网路时光机手动备份 Zdziarski 那篇文章时, 网路时光机说: This URL has been excluded from the Wayback Machine. 我只好自己手动备份: 文字版、 图片版。 2017 年, 苹果延揽 iPhone 破解专家 Jonathan Zdziarski, 而 Zdziarski 也关闭了他的 twitter 帐号。

关于作者
洪朝贵,人称「贵哥」,朝阳科技大学资讯管理系副教授。贵哥长期以来一直关注资讯人权,兴趣是善用网路从事社会运动,反对以「保护智慧财产权」之名,行「控制资讯自由」之实。经营个人部落格:资讯人权贵ㄓ疑
本文转自原作《让 iPhone 与 iPad 数秒内沦陷的 62078 苹果后门》,T客邦已取得转载授权。

官方微博

Copyright © 2002-2018 . 上海市申博机械科技有限公司 版权所有
公司地址:上海市鼎发新区观海大道111号富明商务中心18层
联系电话:021-68863918

企业邮箱:Sunbet@006yb.com