黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结

作者:蒸米,耀刺,黑雪 @ Team OverSky

0x00 序

iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开并且可被利用的漏洞,本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来一些帮助。

0x01 iOS 10.1.1 公开的可利用漏洞

1. mach_portal攻击链:该攻击链是由Google Project Zero的Ian Beer公布的。整个攻击链由三个漏洞组成:损坏的内核port的uref可导致任意进程的port被越权替换(CVE-2016-7637),powerd任意port替换可导致DoS(CVE-2016-7661),因为set_dp_control_port没有上锁导致的XNU内核UaF(CVE-2016-7644)。

攻击者先使用CVE-2016-7637将launchd与”com.apple.iohideventsystem”系统服务具有发送权限的port替换成自己控制的进程的port,并攻击者还具有该port的接收权限。然后,攻击者利用CVE-2016-7661对powerd这个进程进行DoS,使其重启。在启动过程中,因为powerd的启动需要用到”com.apple.iohideventsystem”系统服务,于是将task port发送给了这个系统服务。但因为攻击者利用之前的CVE-2016-7637漏洞获取了”com.apple.iohideventsystem”系统服务port的接收权限,因此攻击者获得了powerd的task port,从而控制了具有root权限并且在沙盒外的powerd进程。攻击者随后利用powerd进程的task port获取到了host_priv port,然后利用host_priv port触发因set_dp_control_port没有上锁而导致的XNU内核UaF(CVE-2016-7644)漏洞,从而控制了kernel task port。攻击者在获取了kernel task以后,就可以利用系统提供的mach_vm_read()和mach_vm_write()去进行任意内核读写了。

2016年12月22日,qwertyoruiop在Ian Beer公布的mach_portal攻击链的基础上,加入了KPP的绕过、内核patch和cydia的安装,并在自己的twitter上发布了iOS 10.1.*的越狱。

0x02 iOS 9.3.4 公开的可利用漏洞

1. PEGASUS 三叉戟攻击链:该攻击链是在对阿联酋的一位人权活动家进行apt攻击的时候被发现。整个攻击链由三个漏洞组成:JSC远程代码执行(CVE-2016-4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。

在浏览器漏洞方面,由于iOS系统的JavaScriptCore库的MarkedArgumentBuffer类在垃圾回收的时候可能会造成内存堆破坏,导致黑客可以使用该漏洞泄露对象地址以及执行任意指令。在内核漏洞方面,由于XNU内核的OSUnserializeBinary()函数在反序列化用户态传入的数据时没有对OSNumber的长度进行校验,导致可以泄露内核的栈信息。利用精心构造的OSString对象,还可以触发UAF漏洞并导致内核代码执行(具体的分析可以参考我们之前的文章:基于PEGASUS的OS X 10.11.6本地提权:https://jaq.alibaba.com/community/art/show?articleid=531)。利用该攻击链可以做到iOS上的远程完美越狱,可以说是近几年来影响最大的iOS漏洞之一了。并且在未来,极有可能出现利用该漏洞的iOS大面积挂马事件。

利用PEGASUS对iOS 9.3.* 32位设备越狱的DEMO:

http://v.youku.com/v_show/id_XMTg4NzA5OTEwOA==.html

0x03 iOS 9.3.3 公开的可利用漏洞

1. IOMobileFramebuffer Heapoverflow 内核漏洞: 该漏洞存在于IOMobileFramebuffer这个内核服务中。在IOMobileFramebuffer::swap_submit(IOMFBSwap *)这个函数中,因为没有对用户态传入的IOMFBSwap数据进行校验,从而导致内核堆溢出。利用该漏洞可以在沙盒内(不需要沙盒逃逸)直接对内核进行攻击,并完成非完美越狱。该漏洞在iOS 9.3.3盘古越狱(女娲石)中被使用。

0x04 iOS 9.3.2 公开的可利用漏洞

1. WebKit RCE heapPopMin 远程代码执行漏洞: 因为Webkit模块中的WebCore ::TimerBase::heapPopMin()存在内存破坏漏洞,利用该漏洞可以对iOS设备进行远程攻击。当用mobile safari浏览有恶意攻击代码的网页的时候,safari将会被黑客控制。但要注意的事,被控制的仅仅是safari,想要获取用户数据还需要进行沙盒逃逸,想要控制手机还需要对内核进行攻击。另外,因为webkit不光存在于iOS中,因此该漏洞还被用于PS4,Kindle等设备的越狱。

2. GasGauge 条件竞争内核漏洞: 该漏洞存在于GasGauge这个内核服务中,因为在free内存的时候没有进行加锁操作,黑客可以开多个线程进行free操作,当竞争成功的时候可以造成double free的漏洞,随后可以转化为任意zone的UAF并控制内核,并完成非完美越狱。需要注意的是,该内核服务并不能在沙盒内直接访问,所以想要利用该漏洞,需要先做到沙盒逃逸。

0x05 iOS 9.3.1 公开的可利用漏洞

1. inpuTbag Heapoverflow 内核漏洞: 该漏洞是阿里移动安全的OverSky团队发现并公布的,该漏洞存在于IOHIDDevice这个内核服务中,因为没有对Input report的szie做检测从而造成内核堆溢出。利用该漏洞可以对内核进行攻击,并完成非完美越狱。需要注意的是,该内核服务需要在沙盒外并拥有"com.apple.hid.manager.user-access-device"这个entilement才能访问,所以想要利用该漏洞,需要先做到沙盒逃逸,然后绕过entilement的检测才能利用。

0x06 iOS 9.1 公开的可利用漏洞

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 该漏洞存在于com.apple.PersistentURLTranslator.Gatekeeper这个系统服务中,在盘古越狱中被使用,通过利用改漏洞,一个在沙盒内的app可以做到mobile权限的沙盒外任意文件读写,配合dyld的漏洞可以做到沙盒外的任意代码执行。

2. CVE-2015-7084 IORegistryIterator 内核漏洞: 该内核漏洞存在于IOKit中,因为IORegistryIterator对象没有线程互斥的保护,导致对成员进行操作的时候可能出现错误。该漏洞可以在沙盒内直接通过race condition触发, 随后转化为内核信息泄露以及内核的代码执行,并做到非完美越狱。

0x07 iOS 9.0 公开的可利用漏洞

1. CVE-2015-6974 IOHIDFamily 内核漏洞:该漏洞存在于IOHIDResource这个内核服务中,在terminateDevice后,系统没有将device设置为NULL, 从而造成UAF漏洞。该漏洞在盘古iOS 9.0越狱中被使用,利用该漏洞可以做到内核的任意读写,并完成非完美越狱。需要注意的是,该内核服务并不能在沙盒内直接访问,所以想要利用该漏洞,需要先做到沙盒逃逸。

0x08 总结

可以看到2016年的公开可利用的漏洞数量是非常巨大的,相对2015年可以说是有了一个指数级的增长。虽然苹果更新系统的速度非常快并且无法降级,但随着老设备(iPhone 4s及以下已无法升级iOS 10)越来越多,并且用户对新系统期望越来越低,iOS设备的更新率已经变得非常缓慢。

根据某专业移动分析平台2016年12月的数据可以看到,仅有3.28%的设备更新了最新版的iOS 10.2。这意味着96.72%的设备都有被最近刚发布的mach_portal漏洞攻击的风险。我们相信,在新的一年,iOS的漏洞数量还会持续增加,并且随着漏洞利用技术的公开,黑灰产也极有可能利用漏洞对用户进行攻击,希望广大用户一定要注意自己iOS设备的安全。

最后,对本文提到的漏洞感兴趣的同学可以在我们的github上学习相关的资料:https://github.com/zhengmin1989/GreatiOSJailbreakMaterial

更多阿里安全类技术文章及报告,请访问阿里聚安全博客

黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结的更多相关文章

  1. 2016年iOS技术圈回顾

    2016年同2015年一样,在我还没有做好心理准备的时候,一晃神就到了年底.年关将近,不知诸君心情如何,年初的规划实现了多少,来年的计划又是否已有了眉目.年过三十的Peak君感觉年关是越来越难过了,越 ...

  2. 2016 小马哥 IOS

    2016  小马哥 IOS 最新视频完整版       链接:http://pan.baidu.com/s/1c1EQlBM 密码:mxkt

  3. iOS URL Schemes与漏洞的碰撞组合

    iOS URL Schemes与漏洞的碰撞组合 前言 iOS URL Schemes,这个单词对于大多数人来说可能有些陌生,但是类似下面这张图的提示大部分人应该都经常看见: 今天要探究的就是:了解iO ...

  4. 2016 - 1- 23 iOS中xml解析 (!!!!!!!有坑要解决!!!!!!)

    一: iOS中xml解析的几种方式简介 1.官方原生 NSXMLParser :SAX方式解析,使用起来比较简单 2.第三方框架 libxml2 :纯C 同时支持DOM与SAX GDataXML: D ...

  5. 2016年iOS笔试题

    收集了一些ios面试的一些基础的试题,其中也有一些较难的 1.请简述UIView与CALayer有什么不同.2.Block什么情况下会保留实体内引用到外部对象,什么时候要用__block或__weak ...

  6. 【曝】苹果应用商店逾千款iOS应用存安全漏洞

    据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”.可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS ...

  7. iOS业务模块化利用CocoaPod入门实践

    iOS业务模块化即是通过不同的工程管理不同的业务,通常应用在中大型项目中,这样做的好处主要有:1.多人开发时,防止工程文件冲突  2.能够为下个不同的项目抽取代码,话不多说,直接看步骤:括号内容为本例 ...

  8. 苹果应用商店逾千款iOS应用存安全漏洞

    据国外网站Ibtimes报道,知名网络安全公司FireEye日前警告称,由于一款名为“JSPatch”.可帮助开发者修改应用程序的软件上存在安全漏洞,导致苹果应用商店内1000多款使用了该框架的iOS ...

  9. iOS开发之利用IJKPlayer+nginx+rtmp搭建直播的推流和拉流

    最近项目中想实现直播的功能,所以研究了一段时间的直播功能,当然也是在别人的基础上不断的学习实现的,所以记录一下,希望对大家有所帮助. 直播拉流功能: 这里使用了开源的IJKPlayer第三框架,ijk ...

随机推荐

  1. HTML中em与b等的区别

    最近在学习HTML基本知识,看到b标签和strong还有em,都是表示强调目的的,那他们之间的区别是什么呢?总结如下: < b > < i > 是视觉要素(presentati ...

  2. 逻辑回归(LR)总结复习

    摘要: 1.算法概述 2.算法推导 3.算法特性及优缺点 4.注意事项 5.实现和具体例子 6.适用场合 内容: 1.算法概述 最基本的LR分类器适合于对两分类(类0,类1)目标进行分类:这个模型以样 ...

  3. 【转】Repository has not been enabled to accept revision propchanges

    转载地址:http://lg-zhou.blog.163.com/blog/static/178068920111179341041/ 使用SVN提交版本信息时,注释内容写的不全.通过右键Tortoi ...

  4. Html5实现移动端、PC端 刮刮卡效果

    刚从南方回来就分了一个刮刮卡效果的页面,特么的我在烦恼怎么用H5去实现这个效果呢,好不容易写出来了,产品居然说:“既然你可以写出来这个效果那当然好了,开始我只是打算让你实现点击就出现呢!”… … 尼玛 ...

  5. 如何给Qlabel添加clicked属性(覆盖mousePressEvent,处理QMouseEvent消息,反正是软绘制,想怎么样就怎么样)

    clickedLabel.h #ifndef CLICKLABEL_H #define CLICKLABEL_H #include <QLabel> #include <QMouse ...

  6. node.js的安装及配置

    一.安装 直接在浏览器搜索node.js,在官网上下载(一般旧版的更加稳定,比如下载4.4.7版本) 点击DOWNLOADS 往下翻,点击Previous Release Windows下载msi(6 ...

  7. springcloud第四步:ribbon搭建服务负载均衡

    使用ribbon实现负载均衡 启动两个会员服务工程,端口号分别为8762.8763,订单服务 使用负载均衡策略轮训到会员服务接口. 什么是ribbon ribbon是一个负载均衡客户端 类似nginx ...

  8. Dividing the numbers CodeForces - 899C (构造)

    大意: 求将[1,n]划分成两个集合, 且两集合的和的差尽量小. 和/2为偶数最小差一定为0, 和/2为奇数一定为1. 显然可以通过某个前缀和删去一个数得到. #include <iostrea ...

  9. 判断Javascript变量是否为空 undefined 或者null(附样例)

    1.变量申明未赋值 var type; //type 变量未赋值 1. type==undefined //true 2. type===undefined //true 3. typeof(type ...

  10. (转)Linux netstat命令详解

    简介 Netstat 命令用于显示各种网络相关信息,如网络连接,路由表,接口状态 (Interface Statistics),masquerade 连接,多播成员 (Multicast Member ...