黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结

0x00 序

iOS的安全性远比你们的想象中脆弱，除了没有公开的漏洞之外，还有不少已经公开而且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），但愿可以对你们移动安全方面的工做和研究带来一些帮助。

0x01 iOS 10.1.1 公开的可利用漏洞

mach_portal攻击链：该攻击链是由Google Project Zero的Ian Beer公布的。整个攻击链由三个漏洞组成:损坏的内核port的uref可致使任意进程的port被越权替换（CVE-2016-7637），powerd任意port替换可致使DoS（CVE-2016-7661），由于set_dp_control_port没有上锁致使的XNU内核UaF（CVE-2016-7644）。

攻击者先使用CVE-2016-7637将launchd与”com.apple.iohideventsystem”系统服务具备发送权限的port替换成本身控制的进程的port，并攻击者还具备该port的接收权限。而后，攻击者利用CVE-2016-7661对powerd这个进程进行DoS，使其重启。在启动过程当中，由于powerd的启动须要用到”com.apple.iohideventsystem”系统服务，因而将task port发送给了这个系统服务。但由于攻击者利用以前的CVE-2016-7637漏洞获取了”com.apple.iohideventsystem”系统服务port的接收权限，所以攻击者得到了powerd的task port，从而控制了具备root权限而且在沙盒外的powerd进程。攻击者随后利用powerd进程的task port获取到了host_priv port，而后利用host_priv port触发因set_dp_control_port没有上锁而致使的XNU内核UaF（CVE-2016-7644）漏洞，从而控制了kernel task port。攻击者在获取了kernel task之后，就能够利用系统提供的mach_vm_read()和mach_vm_write()去进行任意内核读写了。

2016年12月22日，qwertyoruiop在Ian Beer公布的mach_portal攻击链的基础上，加入了KPP的绕过、内核patch和cydia的安装，并在本身的twitter上发布了iOS 10.1.*的越狱。

0x02 iOS 9.3.4 公开的可利用漏洞

PEGASUS 三叉戟攻击链：该攻击链是在对阿联酋的一位人权活动家进行apt攻击的时候被发现。整个攻击链由三个漏洞组成：JSC远程代码执行（CVE-2016-4657），内核信息泄露（CVE-2016-4655），内核UAF代码执行（CVE-2016-4656）。

在浏览器漏洞方面，因为iOS系统的JavaScriptCore库的MarkedArgumentBuffer类在垃圾回收的时候可能会形成内存堆破坏，致使黑客可使用该漏洞泄露对象地址以及执行任意指令。在内核漏洞方面，因为XNU内核的OSUnserializeBinary()函数在反序列化用户态传入的数据时没有对OSNumber的长度进行校验，致使能够泄露内核的栈信息。利用精心构造的OSString对象，还能够触发UAF漏洞并致使内核代码执行（具体的分析能够参考咱们以前的文章：基于PEGASUS的OS X 10.11.6本地提权：https://jaq.alibaba.com/community/art/show?articleid=531）。利用该攻击链能够作到iOS上的远程完美越狱，能够说是近几年来影响最大的iOS漏洞之一了。而且在将来，极有可能出现利用该漏洞的iOS大面积挂马事件。

利用PEGASUS对iOS 9.3.* 32位设备越狱的DEMO：
http://v.youku.com/v_show/id_...

0x03 iOS 9.3.3 公开的可利用漏洞

IOMobileFramebuffer Heapoverflow 内核漏洞: 该漏洞存在于IOMobileFramebuffer这个内核服务中。在IOMobileFramebuffer::swap_submit(IOMFBSwap *)这个函数中，由于没有对用户态传入的IOMFBSwap数据进行校验，从而致使内核堆溢出。利用该漏洞能够在沙盒内（不须要沙盒逃逸）直接对内核进行攻击，并完成非完美越狱。该漏洞在iOS 9.3.3盘古越狱(女娲石)中被使用。

0x04 iOS 9.3.2 公开的可利用漏洞

1. WebKit RCE heapPopMin 远程代码执行漏洞: 由于Webkit模块中的WebCore ::TimerBase::heapPopMin()存在内存破坏漏洞，利用该漏洞能够对iOS设备进行远程攻击。当用mobile safari浏览有恶意攻击代码的网页的时候，safari将会被黑客控制。但要注意的事，被控制的仅仅是safari，想要获取用户数据还须要进行沙盒逃逸，想要控制手机还须要对内核进行攻击。另外，由于webkit不光存在于iOS中，所以该漏洞还被用于PS4，Kindle等设备的越狱。

2. GasGauge 条件竞争内核漏洞: 该漏洞存在于GasGauge这个内核服务中，由于在free内存的时候没有进行加锁操做，黑客能够开多个线程进行free操做，当竞争成功的时候能够形成double free的漏洞，随后能够转化为任意zone的UAF并控制内核，并完成非完美越狱。须要注意的是，该内核服务并不能在沙盒内直接访问，因此想要利用该漏洞，须要先作到沙盒逃逸。

0x05 iOS 9.3.1 公开的可利用漏洞

inpuTbag Heapoverflow 内核漏洞: 该漏洞是阿里移动安全的OverSky团队发现并公布的，该漏洞存在于IOHIDDevice这个内核服务中，由于没有对Input report的szie作检测从而形成内核堆溢出。利用该漏洞能够对内核进行攻击，并完成非完美越狱。须要注意的是，该内核服务须要在沙盒外并拥有"com.apple.hid.manager.user-access-device"这个entilement才能访问，因此想要利用该漏洞，须要先作到沙盒逃逸，而后绕过entilement的检测才能利用。

0x06 iOS 9.1 公开的可利用漏洞

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 该漏洞存在于com.apple.PersistentURLTranslator.Gatekeeper这个系统服务中，在盘古越狱中被使用，经过利用改漏洞，一个在沙盒内的app能够作到mobile权限的沙盒外任意文件读写，配合dyld的漏洞能够作到沙盒外的任意代码执行。

2. CVE-2015-7084 IORegistryIterator 内核漏洞: 该内核漏洞存在于IOKit中，由于IORegistryIterator对象没有线程互斥的保护，致使对成员进行操做的时候可能出现错误。该漏洞能够在沙盒内直接经过race condition触发, 随后转化为内核信息泄露以及内核的代码执行，并作到非完美越狱。

0x07 iOS 9.0 公开的可利用漏洞

1. CVE-2015-6974 IOHIDFamily 内核漏洞：该漏洞存在于IOHIDResource这个内核服务中，在terminateDevice后，系统没有将device设置为NULL, 从而形成UAF漏洞。该漏洞在盘古iOS 9.0越狱中被使用，利用该漏洞能够作到内核的任意读写，并完成非完美越狱。须要注意的是，该内核服务并不能在沙盒内直接访问，因此想要利用该漏洞，须要先作到沙盒逃逸。

0x08 总结

能够看到2016年的公开可利用的漏洞数量是很是巨大的，相对2015年能够说是有了一个指数级的增加。虽然苹果更新系统的速度很是快而且没法降级，但随着老设备（iPhone 4s及如下已没法升级iOS 10）愈来愈多，而且用户对新系统指望愈来愈低，iOS设备的更新率已经变得很是缓慢。

根据某专业移动分析平台2016年12月的数据能够看到，仅有3.28%的设备更新了最新版的iOS 10.2。这意味着96.72%的设备都有被最近刚发布的mach_portal漏洞攻击的风险。咱们相信，在新的一年，iOS的漏洞数量还会持续增长，而且随着漏洞利用技术的公开，黑灰产也极有可能利用漏洞对用户进行攻击，但愿广大用户必定要注意本身iOS设备的安全。

最后，对本文提到的漏洞感兴趣的同窗能够在咱们的github上学习相关的资料：https://github.com/zhengmin19...

做者：蒸米，耀刺，黑雪 @ Team OverSky，更多安全类技术文章及报告，请访问阿里聚安全博客