垃圾/骚扰/色情/钓鱼短信已经成为苹果手机 iMessage 无法解决的难题。几乎每一位 iPhone 用户都曾收到过这类短信,被吐槽“每一个 iPhone 里都藏着一个澳门葡京赌场”。
对于这些垃圾短信,最好的办法就是别点开直接删除,上当/被骗的第一步就是从点开这些短信开始。
近期,上海警方在侦办电信诈骗案件过程中,发现有不少遭遇“冒充熟人、领导”类诈骗的被害人。诈骗分子通过 iMessage 功能群发短信,用户一旦回复,骗子便会继续通过 iMessage 功能进行对话,并利用“花式”理由进行诈骗。
根据警方公布的信息,很多苹果用户都收到过一条来自“领导”的短信,但其实是诈骗分子群发进行“钓鱼”。
亦或者是发 iMessage 短信,自称是某某人的老友,并借此与用户聊天,伺机以“帮忙办私事”,给所谓的领导转账打款,并以银行信息填写错误,未收到钱款为由要求其继续打款,以此进行诈骗。
更糟糕的是,目前苹果对于垃圾/色情短信泛滥拿不出一个好的解决办法。很多用户表示,在 iPhone 手机上短信过滤功能就是一个摆设,对于垃圾短信没有任何的屏蔽作用,于是 iPhone 上的 iMessage 功能,逐渐沦为了“黑灰产的乐园”。
iMessage 功能的亮点也是槽点
虽然国内苹果手机上的 iMessage 功能使用率极低,不出意外的话,绝大多数苹果手机上的 iMessage 仅仅是用来接收短信验证码。
但 iMessage 功能在国外的热度非常高,但在国内却十分遭人嫌弃,使用频率低到令人发指。有不少用户甚至不清楚 iMessage 的功能,而简单地将之理解为短信。其实,iMessage 是升级版的短信,或者说另外一种形式的微信。
苹果用户可以通过 iMessage 享受专属的网络通信服务,除了纯文本内容外,用户还可以发送图片、视频、链接等许多富媒体信息,并且这些服务都是免费的。数据显示,苹果公司在全球拥有 15 亿以上的用户,而 iMessage 全球用户的规模也迈过了 10 亿大关,充分表明该功能的受欢迎程度,也决定了 iMessage 是全球通讯软件中的佼佼者。
但问题来了,iMessage 在设计上与微信等社交 App 存在明显的不同点,无需添加好友,只要有对方的手机号码或者 Apple ID 邮箱,你就可以直接向对方发送各种各样的内容(文本、图片、链接等)。
懂安全的人是不是已经发现了,该机制下的 iMessage 必定会存在一种安全问题——骚扰短信将会铺天盖地,各种以赌博、色情为噱头的钓鱼攻击将会无往不利,只需要搞到对方手机号,就可以轻松发起钓鱼攻击。至于怎么搞到手机号,在隐私信息满天飞的今天应该不是什么难事。
隐私策略反成为黑灰产的保护伞
iMessage 的安全问题饱受用户吐槽,但这不意味着 iMessage 的隐私保护策略低级。事实上 iMessage 的安全保护相对来说十分高级,采用的是端对端加密算法,任何一条消息在离开发送者手机的那一刻,直到到达接受者手机的之前的所有过程,消息全程加密,安全性直接拉满,即便是苹果公司也只能看到被加密的文本信息。
2024 年,苹果公司还为 iMessage 发布了新的加密协议——PQ3,号称是后量子时代的安全通讯协议。PQ3 技术允许用户使用公钥改变端到端加密的算法,这样它们就可以在经典的非量子计算机上工作,但又能防止使用未来量子计算机的潜在黑灰产攻击。
PQ3 协议将在 iOS 17.4、iPadOS 17.4、macOS 14.4 和 watchOS 10.4 中提供。过渡到新协议将是逐步进行的:首先,所有支持 PQ3 的设备上的用户对话将自动切换到该协议;然后在 2024 年晚些时候,苹果计划完全替换先前使用的端到端加密协议。
那么问题来了,如此严格的隐私保护策略给了黑灰产们极其宽广的操作空间。由于端到端的加密机制,黑灰产们的敏感内容同样被保护了起来,从而直接导致短信屏蔽功能失效。
这还真是一个令人感到讽刺的现象。iMessage 为保障用户隐私,实施了端对端加密,哪怕是苹果也无法知晓中间的信息。一个往日替用户遮风挡雨的信息盾牌,现在反而成为骚扰短信的护身符。
iMessage 喜提“史上最复杂的攻击链”称号
iMessage 还曾被黑灰产用于复杂的网络攻击之中。
近日,卡巴斯基的研究人员发现了 iPhone 一个非常隐蔽的后门。通过这个硬件级别的后门,能直接获得 iPhone 最高级别的 Root 权限。而要成功利用这个后门,必须要对苹果产品最底层的机制有非常全面细致的了解。以至于发现这个漏洞的卡巴斯基研究人员称「无法想象这个漏洞是如何被意外发现的。」在他看来,除了苹果和 ARM 之外,几乎不可能有人能获知这个漏洞。
而间谍软件可以通过这个复杂的漏洞,将麦克风录音、照片、地理位置和其他敏感数据传输到攻击者控制的服务器。尽管重新启动就能关闭这个漏洞,但攻击者只需在设备重新启动后向设备发送新的恶意 iMessage 文本,就能重新开启这个漏洞。期间完全不需要用户进行操作,而且也不会留下任何蛛丝马迹,非常隐蔽。对此,OpenAI 科学家 Andrej Karpathy 表示:这无疑是我们迄今为止所见过的攻击链中最为复杂的一个。
下面是卡巴斯基公布的完整的攻击链,包括用于获取受害者设备 root 权限的四个 0day 漏洞:
1. 攻击者向目标用户发送恶意 iMessage 附件,当受害者的 iPhone 收到消息时,iMessage 不会有任何提醒、同时自动处理该附件;
2. 这个恶意附件利用了未记录的、苹果独有的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990;
3. 恶意代码使用面向返回 / 跳转的编程和用 NSExpression/NSPredicate 查询语言编写的多个阶段,然后利用 JavaScriptCore 库环境执行权限提升;
4. 攻击者利用的 JavaScript 漏洞被混淆,这导致代码不可读,尽管如此研究人员发现攻击者大约使用了 11,000 行代码,主要用于 JavaScriptCore 和内存解析操作;
5. 攻击者利用 JavaScriptCore 调试功能 DollarVM ($vm) 来获得从脚本操作 JavaScriptCore 内存并执行本机 API 的能力;
6. 攻击者为了支持新旧 iPhone,所以还做了一个包含指针身份验证代码的绕过功能,可以用在最新款 iPhone 上;
7. 攻击者利用 XNU 内存映射系统中的整数溢出漏洞 CVE-2023-32434 来获取用户级别对设备整个物理内存读 / 写的访问权限;
8. 攻击者使用硬件内存映射 I/O 寄存器来绕过页面保护层,此问题已经通过 CVE-2023-38606 进行缓解;
9. 利用所有漏洞后,JavaScript 漏洞可以针对设备执行任何操作,包括运行间谍软件,但攻击者选择:
启动 IMAgent 进程并注入有效负载以清除设备中的漏洞利用痕迹; 以不可见模式运行 Safari 进程,并将其转发到下一攻击阶段使用的网页;10. 该网页有一个脚本来验证受害者,如果检测通过则转到下一阶段:Safari 漏洞利用;
11. Safari 漏洞利用 CVE-2023-32435 来执行 shellcode;
12. shellcode 以 Mach 目标文件的形式执行另一个内核漏洞利用,它使用相同的漏洞:CVE-2023-32434 和 CVE-2023-38606,这与使用 JavaScript 编写的内核漏洞完全不同,不过目标也是用于内存解析操作,但在后期攻击者大部分功能并未使用;
13. 该漏洞利用获得 root 权限并继续执行其他阶段,包括加载间谍软件等。
据卡巴斯基介绍,在 2019 年就有黑灰产尝试利用该漏洞发起攻击,到了 iOS 16 版本,该漏洞甚至演变成黑灰产滥用的局面。在 2023 年 6 月披露细节后苹果公司才进行了修复,那在此期间,黑灰产团队究竟利用此漏洞发起了多少次攻击,目前仍未有确切的信息。
OpenAI 的科学家 Andrej Karpathy 针对此事发表了自己的看法,认为这是迄今为止所见过的攻击链中最为复杂的一个。黑灰产巧妙利用了苹果芯片中的硬件机制漏洞,进而通过 iMessage 完成入侵。
在苹果的大本营——美国,iMessage 的受欢迎程度不亚于潮流明星。「绿泡泡」与「蓝气泡」之间的爱恨情仇更是几乎每年都会被放到明面上进行讨论,这里的蓝绿泡泡是指苹果通过短信界面的聊天气泡颜色,对普通短信和 iMessage 短信进行区分(即 iPhone 设备和非 iPhone 设备)。
iMessage 作为苹果设备的特色功能之一,在全球果粉的助推下,隐约形成了自己的强大「壁垒」。但也正因为如此,苹果应该多注重安全隐私问题,打击防备像 Triangulation 安全漏洞和骚扰/诈骗短信现象的发生。