Apple iOS 9.3 S/Plus – 触摸密码绕过漏洞

介绍

iOS是苹果公司开发的手机操作系统，发布于2007年，使用在iPhone 和 iPod Touch上，并且已经开始延伸至其他苹果设备如iPad和Apple TV。与微软的Windows Phone (Windows CE)和Google的Android系统不同，苹果没有授权其他非苹果硬件安装iOS系统。截至2012年9月12日，苹果AppStore中包含超过700,000iOS应用，累计下载次数超过3百亿次。

苹果公司是一家设计、开发、销售消费电子品、电脑软件，在线服务的公司。其硬件产品包括iPhone智能手机，iPad平板电脑、Mac电脑、iPod随身听，和苹果手表。软件产品包括OSX和iOS操作系统，iTunes媒体播放器，Safari浏览器和iLife、iWork生产力套件。在线服务包括iTunes商店，iOS 应用商店、Mac应用商店和iCloud。

漏洞摘要

漏洞实验室核心研究团队在苹果iOS 9.3.1 iPhone 6S & Plus机型上发现了一个本地密码绕过漏洞。

影响产品

iOS 9.3.1 (iPhone 6S & iPhone Plus) (需要3DTouch)

技术细节

iPhone 6S & iPhone Plus 机型的iOSv9.3.1系统中包含一个密码绕过漏洞。本地攻击者可以通过漏洞绕过iPhone的设备保护机制。

苹果显示屏上的3D触摸传感器可以通过按压交互用来打开基本的上下文菜单。这个新功能只有配备新硬件的iPhone6S 和iPhone Plus能够使用。

漏洞存在于已安装应用的内部应用@ link GET方法。远程攻击者可以使用siri 请求任务的runtime应用。这样的交互不需要密码。之后，攻击者可以浏览诸如Facebook，twitter和yahoo等app，然后搜索`@[TAGS]`。攻击点击添加标签并且按住按钮，新的3Dtouch功能在重度按压下会向攻击者显示基本上下文菜单。而可用的菜单中有添加新联系人的选项。

然后攻击者点击新联系人的图片/头像按钮，他就能看到手机中的图片库。

接下来，能够物理接触设备的本地攻击者可以通过与已有帐号关联的邮件来请求联系人。

演示视频

这个密码绕过漏洞的cvss得分高达6.1分。攻击只需要低权限的iOS设备用户帐号，并且没有用户交互。

要成功进行攻击需要对设备的物理接触。攻击成功后能获得未授权的权限，手机即被攻陷，敏感信息如通讯录、相册、短信、邮件、手机应用、手机设置都遭泄露，其他已安装应用的信息也会被攻击者获取。

PoC

可以根据以下步骤重现漏洞。

漏洞重现

1. 从appstore下载 yahoo, twitter 或 facebook引用 2. 启动程序到runtime task 3. 在设置中添加新密码 4. 通过电源按键锁屏 5. 点击两次Home键或者点击"hello siri" 打开siri 6. 让siri 通过twitter, yahoo 或 facebook进行搜索 7. 查看搜索的推文直到看到@tag或者在预览中使用搜索 8. 用力按压@tag按钮 9. 系统会显示基本上下文菜单 10. 选择添加新联系人 11. 为这个联系人添加头像 12. 现在攻击者就可以在未验证的情况下查看手机中的相册了 13. 点击发送消息，邮箱就会在未经安全验证的情况下打开

解决方案

通过在设置菜单中永久取消Siri，用户可以暂时地修复漏洞。

接下来取消不输入密码进入公共控制面板。通过隐私设置禁止Siri获取图片信息或者通讯录信息。

注意：经过2016-04-04的更新，iOS 9.3.1仍然可以被攻击。

我们还在此提供了另一种临时修复方案。

漏洞发现者

Vulnerability Laboratory [Research Team] - Benjamin KunzMejri (research@vulnerability-lab.com)

* 参考来源：vulnerability-lab，vulture翻译，文章有修改，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）