1
| 本文作者: 謝幺 | 2016-12-05 08:36 |
想必讀者們已經(jīng)在雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))看到了關(guān)于iOS 10.1.1 系統(tǒng)“激活鎖”被繞過漏洞的報道(見于雷鋒網(wǎng)昨日報道:《iOS 10.1發(fā)現(xiàn)新漏洞:可繞過“激活鎖”強行進入主屏》)
本著求真和好奇的心態(tài),此次宅客頻道將帶領(lǐng)讀者們講述此次事件的來龍去脈、破解流程以及相關(guān)細(xì)節(jié),試圖將完整的故事呈現(xiàn)給讀者們,讓讀者了解到:
漏洞是什么,可導(dǎo)致何種后果?
這個漏洞最早是如何被發(fā)現(xiàn)的?
復(fù)現(xiàn)漏洞的具體步驟是怎樣的?
我們是否會受影響,該怎么做?
從iOS 7開始,蘋果設(shè)備就具有一項“激活鎖”功能, 當(dāng)用戶的設(shè)備不慎被偷,只要激活"丟失模式”(Lost mode),盜竊者在沒有得到合法機主許可就無法激活設(shè)備到正常工作狀態(tài),這使得丟失的蘋果設(shè)備很難被直接轉(zhuǎn)賣,不僅提高安全性還降低了失竊率。
這也是許多人在丟失蘋果設(shè)備后都收到釣魚短信及郵件的原因——盜竊者試圖騙取APPID賬號密碼來解鎖設(shè)備。
然而,此漏洞的出現(xiàn),意味著任何人都可以繞過“激活鎖”直接重置該設(shè)備,讓丟失模式形同虛設(shè)!盜竊者可以利用該漏洞將一些非法獲得的設(shè)備直接解鎖后重新售賣或自行使用。簡而言之,當(dāng)你的設(shè)備丟失,你更難將它找回了。
那么這個漏洞是如何被發(fā)現(xiàn)的呢?
據(jù)外媒報道,該漏洞最早是由印度安全專家赫門特·約瑟夫(Hemant Joseph)發(fā)現(xiàn)的,于是宅客頻道(公眾號:宅客頻道)通過博客了解到破解的全部操作流程。
赫門特給朋友網(wǎng)購了一個iPad,哪知設(shè)備剛到手,卻發(fā)現(xiàn)被開啟了“丟失模式”,發(fā)現(xiàn)連接WiFi之后,設(shè)備會要求輸入之前機主的APPID賬號密碼。赫門特這才知道,自己花了許多時間挑選iPad,最后卻買回來一塊“磚頭”——他覺得自己被徹頭徹尾地耍了,簡直不能忍!
“自己動手,豐衣足食”,作為安全專家的赫門特決定發(fā)揮自己的聰明才智對iPad進行破解,他立刻想到了讓設(shè)備緩沖區(qū)溢出的方法。
以下為赫門特個人博客中對破解過程的描述:
我在WiFi網(wǎng)絡(luò)選項中,選擇“連接另一個網(wǎng)絡(luò)”。
跳轉(zhuǎn)到一個要求輸入用戶名的登錄框。
以上只有一個輸入字段,如果有字符限制的話,比較難引發(fā)內(nèi)存緩沖區(qū)溢出。但如果點擊“安全選項”,選擇安全協(xié)議WEP,就有另一個WPA WPA2企業(yè)版的選項出現(xiàn)。
我選擇WP2企業(yè)版,這時會出現(xiàn)三個輸入框:名稱、用戶名和密碼,然后我很驚奇地發(fā)現(xiàn),這里居然沒有限制字符長度,可以肆無忌憚地輸入,真是太適合用來造成內(nèi)存緩沖區(qū)溢出的情況了!
一直復(fù)制粘貼輸入字符,直到設(shè)備卡住。
我等了一會兒,看看是恢復(fù)正常還是軟件崩潰,結(jié)果既沒有崩潰也沒有恢復(fù),一直卡著。又等了一會,我按下了解鎖按鈕,結(jié)果它把我?guī)Щ氐揭婚_始的歡迎屏幕了 :(
WTF ?(心中一萬頭羊駝奔過)
第一次嘗試破解失敗后,赫門特沒有放棄,開始第二次嘗試:
思考了一會如何誘發(fā)程序崩潰讓它跳到主屏幕上,我想到了利用iPad外殼(iPad smart Case)的自動喚醒功能來試試,因為可以利用它的這個特性:當(dāng)我們用蓋上外殼蓋來關(guān)閉屏幕,再打開外殼蓋,它會重現(xiàn)之前關(guān)閉之前的屏幕,繼續(xù)剛才的工作請求。
于是我重復(fù)了剛才的操作,在最后一步iPad卡死的時候,蓋上外殼蓋子,然后過一會兒再打開。
過了大概20~25秒,iPad出現(xiàn)了軟件崩潰,然后把我?guī)У搅酥髌聊唬瑥亩@過了所謂的“激活鎖”,成功!
由此可以看出,這里出現(xiàn)的漏洞的主要原因在于:連接WiFi時的輸入框限制輸入字符的長度,而在實際使用當(dāng)中,沒有人會使用一個超過1000個字符來當(dāng)賬號或密碼。
看到這里,可能有些讀者已經(jīng)想找一臺iPad來親身體驗一把了,不過你們可能不會成功,因為發(fā)現(xiàn)該漏洞的印度專家赫門非常耿直,發(fā)現(xiàn)漏洞后立馬寫郵件告訴了蘋果官方,并很快得到了蘋果官方的回復(fù)。
蘋果很快推出了iOS 10.1.1 的版本更新,修復(fù)了該漏洞,因此該漏洞只可能在iOS 10.1 或者更早的版本中復(fù)現(xiàn)。
然而,“繞過風(fēng)波”并沒有就此結(jié)束。
Vulnerability Lab實驗室的研究人員也對此問題進行分析后,發(fā)現(xiàn)利用屏幕旋轉(zhuǎn)和Night Shift(自動調(diào)整屏幕色溫)功能可在iOS 10.1.1系統(tǒng)中重現(xiàn)這個漏洞。
他們提供了一段成功破解的視頻:
宅客頻道發(fā)現(xiàn),在視頻演示中,主要區(qū)別于破解iOS 10.1繞過漏洞的地方主要在于:
輸入的字符使用了emoji表情等特殊字符
在最后一個中反復(fù)使用了智能外殼和屏幕旋轉(zhuǎn)功能
需要很精準(zhǔn)地把握好關(guān)鍵操作的時間點:在某個瞬間設(shè)備會出現(xiàn)不到一秒的主屏幕,這時需要適時按下Home鍵才可以完全繞過激活鎖,這一時機很難把握。
宅客頻道編輯找來了一個裝載iOS 10.1.1系統(tǒng)的iPad mini 2 , 嘗試復(fù)現(xiàn)該漏洞,但不知是由于沒有把握好時機,嘗試多次后并沒有成功解鎖設(shè)備。然而在國外社交媒體上有網(wǎng)友表示自己按照視頻演示,成功破解了iPad mini 2(同樣嘗試了好幾次)。
目前,宅客頻道還沒有發(fā)現(xiàn)任何成功利用此方式破解iPhone設(shè)備的案例。在國外一名研究員安德魯·坎寧安的報道中,他也發(fā)現(xiàn)了相同的情況:
根據(jù)這個視頻,我們能夠在運行iOS 10.1.1的iPad Mini 2上重現(xiàn)該問題,然而在我們的測試中,我們無法在運行iOS 10.1.1 的iPhone 5設(shè)備中重現(xiàn)這個bug,在實驗中,iPhone沒有向iPad那樣旋轉(zhuǎn)為橫屏模式,也沒辦法用智能外殼來控制屏幕的開關(guān)。
由此看來,該漏洞在iPad上也需要一定的技巧才能復(fù)現(xiàn),而在iPhone上幾乎無法實現(xiàn),因此人們其實并不必為這個漏洞太過擔(dān)心,并且相信蘋果公司也將會在接下來推出的iOS 10.2的版本更新中修復(fù)該問題。
針對此問題,國外相關(guān)安全機構(gòu)給出了一些建議:
當(dāng)蘋果為這個錯誤提供了一個補丁后,盡快安裝它。
日常蘋果設(shè)備丟失,對方可能不會去惡意破解,但盡可能為之設(shè)置一個安全的PIN碼或鎖屏密碼,以確保安全。
不過對于此次“激活鎖”繞過漏洞,宅客頻道有個更直接有效的終極建議:看好你的機器設(shè)備,別把它弄丟了。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
