歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

深入探索在野外發現的iOS漏洞利用鏈(七)

來源:本站整理 作者:佚名 時間:2019-09-18 TAG: 我要投稿

在之前的文章中,我們研究了攻擊者如何在iPhone上以root身份進行沙盒逃逸代碼執行。在每個鏈的末尾都可以看到攻擊者調用posix_spawn ,將路徑傳遞給在/ tmp目錄下的惡意二進制文件。植入代碼在后臺以root身份運行,iphone設備上不會有任何信息顯示代碼正在后臺執行。iOS上的用戶無法查看進程列表,因此惡意二進制文件將自己從系統中隱藏。 注入代碼主要目的是竊取文件和上傳實時位置數據,植入代碼每60秒從控制服務器請求命令。
 
0x01 軟件示例
在深入研究代碼之前,讓我們看看運行注入代碼的測試手機中的一些樣本數據,并與我開發的自定義命令和控制服務器進行通信。為了清楚起見,我做了一個專門用于測試后演示植入代碼可以做什么的設備。這個設備是運行iOS 12的iPhone 8. 植入代碼可以訪問端到端的加密應用程序(如Whatsapp,Telegram和iMessage)使用的所有數據庫文件(在受害者的手機上)。左側是應用程序的屏幕截圖,右側是植入代碼竊取的數據庫文件的內容,其中包含使用應用程序發送和接收的消息的未加密明文:
Whatsapp

Telegram

iMessage

Hangouts
以下是Google Hangouts 在iOS中的對話以及上傳的相應數據庫文件。通過一些基本的SQL,我們可以輕松地看到消息的純文本,甚至是共享圖像的URL。

植入代碼可以上傳設備上所有應用程序使用的私人文件;,以下是通過Gmail發送的電子郵件明文內容的示例,這些內容會上傳到攻擊者的服務器:
Gmail

Contacts
植入代碼會保存用戶完整聯系人數據庫的副本:

Photos
拍下所有照片的副本:

實時GPS跟蹤
如果設備在線,植入代碼還可以實時上傳用戶的位置,每分鐘最多一次。以下是當我帶著存在植入代碼的手機上運行時,收集的實時位置數據的真實樣本:

植入代碼會上傳設備的憑證信息,其中包含設備上使用的大量憑證和證書。例如,所有已保存的WiFi接入點的SSID和密碼:
dict>
           key>UUIDkey>
           string>3A9861A1-108E-4B3A-AAEC-C8C9DC79878Estring>
     key>acctkey>
           string>RandomHotelWifiNetworkstring>
           key>agrpkey>
           string>applestring>
           key>cdatkey>
           date>2019-08-28T08:47:33Zdate>
           key>classkey>
           string>genpstring>
           key>mdatkey>
           date>2019-08-28T08:47:33Zdate>
           key>musrkey>
           data>
           data>
           key>pdmnkey>
           string>ckstring>
           key>persistrefkey>
           data>
           data>
           key>sha1key>
           data>
           1FcMkQWZGn3Iol70BW6hkbxQ2rQ=
           data>

[1] [2] [3] [4] [5] [6] [7]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局