近日，卡巴斯基安全研究人員鮑里斯·拉林（Boris Larin）披露了iPhone歷史上最復雜的間諜軟件攻擊——三角測量（Triangulation）的技術細節。該攻擊技術自2019年以來被用于監聽iPhone用戶。

2023年6月俄羅斯政府首次曝光了大規模的iPhone后門活動，攻擊者利用三角測量攻擊感染了俄羅斯外交使團和數千名使館工作人員的iPhone。甚至卡巴斯基在自己的網絡中也發現了三角測量攻擊，多名卡巴斯基員工中招，這在網絡安全行業一度傳為笑談。俄羅斯情報部門(FSB)則指責蘋果公司向美國國家安全局提供針對俄羅斯政府和大使館人員的后門。

經過一年多時間的逆向工程研究，卡巴斯基的研究人員發現，三角測量攻擊利用了蘋果芯片中從未公開的神秘功能（可能用于工廠測試和調試）中的零日漏洞來繞過硬件安全保護。這表明通過硬件設計或硬件測試的模糊性和保密性來實現安全性是一個錯誤的假設。

用了四個零日漏洞

三角測量行動（Triangulation）是一種針對蘋果iPhone設備的間諜軟件活動，利用了多達四個零日漏洞。這些漏洞組合在一起構成一個零點擊漏洞，攻擊者可提升權限并執行遠程代碼執行。卡巴斯基表示，在至少四年的時間里，感染是通過iMessage文本傳播的，這些文本通過復雜的漏洞利用鏈安裝間諜軟件，而無需受害者采取任何行動。

這個高度復雜的漏洞利用鏈并可攻擊iOS 16.2之前的所有iOS版本，涉及的四個零日漏洞分別是：

• CVE-2023-41990：ADJUST TrueType字體指令中存在漏洞，允許通過惡意iMessage附件遠程執行代碼。
• CVE-2023-32434：XNU內存映射系統調用中存在整數溢出問題，允許攻擊者對設備的物理內存進行廣泛的讀/寫訪問。
• CVE-2023-32435：在Safari漏洞利用中用于執行shellcode作為多階段攻擊的一部分。
• CVE-2023-38606：使用硬件MMIO寄存器繞過頁面保護層(PPL)的漏洞，從而覆蓋基于硬件的安全保護。

除了影響iPhone之外，這些秘密硬件功能及其高危零日漏洞還存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基發現，這些漏洞并非“失誤”，而是有意開發用于這些設備的。

三角測量行動的攻擊鏈

攻擊從向目標發送惡意iMessage消息開始，整個鏈條都是零點擊的，這意味著全程都無需用戶交互，用戶不會有任何察覺，也不會生成或留下任何明顯的痕跡。

Apple于2023年6月21日發布了iOS/iPadOS 16.5.1和iOS/iPadOS 15.7.7，修復了當時發現的兩個零日漏洞（CVE-2023-32434和CVE-2023-32435）。

史上最復雜的iPhone間諜軟件

在上述漏洞中，CVE-2023-38606是最令卡巴斯基分析師感興趣的，該漏洞直到2023年7月24日iOS/iPadOS16.6發布才得到解決。

攻擊者可利用該漏洞繞過Apple芯片上基于硬件的高級內存保護，后者用于防止攻擊者在獲得對內核內存的讀寫訪問權限時取得對設備的完全控制（使用單獨的CVE-2023-32434漏洞實現）。

在深度技術文章中，卡巴斯基解釋說，CVE-2023-38606針對的是蘋果公司A12-A16 Bionic處理器中未知的MIMO（內存映射I/O）寄存器，可能與該芯片的GPU協處理器相關聯，但未在設備樹中列出：

三角測量攻擊的MIMO范圍

三角測量攻擊使用這些未知寄存器地址來操縱硬件功能并在攻擊期間控制直接內存訪問。

“簡單來說，攻擊者通過將數據寫入固件未使用的未知MIMO硬件寄存器地址來繞過基于硬件的內存保護。”卡巴斯基的報告解釋道。

研究人員發現，攻擊者用來繞過內存保護的幾個MIMO寄存器地址未出現在任何設備樹工程文檔中（包括為iPhone開發硬件或軟件的工程師的參考文檔）。即使研究人員進一步搜索源代碼、內核映像和固件，仍然找不到任何提及這些MMIO地址的內容。

卡巴斯基推測，在iPhone設備中加入這一隱秘的，未記錄的硬件功能要么是一個錯誤，要么是為了幫助蘋果工程師進行調試和測試而預留的。

最終，蘋果通過更新設備樹以限制物理地址映射修復了該漏洞。

然而，攻擊者最初如何能夠知道蘋果從未公開的硬件功能并找到利用機制仍是個未解之謎。