WiFiDemon – iOS WiFi RCE 0 漏洞利用
2021-07-24
来源:嘶吼专业版
近日,ZecOps安全研究人员发现了iOS WiFi命名漏洞的零交互攻击利用方式,可以用来远程劫持iPhone设备。
Wi-Fi-Demon
Wifid 是处理与WiFi连接相关的协议的系统daemon。Wifid是以root 权限运行的。大多数处理函数都在CoreWiFi 框架中定义,而且这些服务无法在沙箱中访问。
6月,研究人员Carl Schou发现wifid在处理SSID 时存在格式字符串问题。攻击者利用该wifid漏洞可以引发DoS攻击,禁用iPhone的WiFi功能和热点功能。引发DoS 攻击的原因是wifid 会将已知的WiFi SSID写入硬盘中的以下文件:
/var/preferences/com.apple.wifi.known-networks.plist
/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup
/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist
Wifid每次启动后,就会从文件中读取SSID并引发奔溃。及时重启也无法解决该问题。
WiFiDemon 技术分析:零点击远程漏洞利用
研究人员进一步分析发现:
攻击者无法强迫用户连接。该漏洞可以以零点击的非交互形式启动。受害者只需要将WiFi开启就会触发有漏洞的代码。
研究人员在测试格式字符串bug时,注意到WiFid在无法连接到WiFi时会生成日志。这些日志中包含SSID,表明其中可能受到相同的格式字符串bug影响。该日志与智能设备的一个常见行为有关:自动扫描和加入已知的网络。
当用户使用手机时,iPhone每3秒会扫描WiFi网络。此外,如果用户的手机屏幕关闭了,仍然会扫描WiFi网络,但是扫描频率会变低一点,扫描的时间从10秒到1分钟左右。
如果用户连接到已有的WiFi 网络,攻击者可以启动其他攻击来断开设备的WiFi连接,然后启动0点击攻击。
零点击攻击:如果恶意AP有密码保护,且用户从未加入WiFi网络,硬盘中不会保存任何内容。在关闭恶意AP后,用户的WiFi功能就会正常。用户不会注意到是否受到攻击。