https://mp.weixin.qq.com/s/ZtKjlaIoMVCSY-rXt2RP1Q
2022年3月25日起,美国安局利用某境外品牌手机短信服务漏洞,秘密网攻控制国家授时中心多名工作人员的手机终端,窃取手机内存储的敏感资料。
不懂就问,如果是私人手机为啥可以储存敏感资料?如果是工作手机为啥用境外品牌?
2 个赞
我只能说不意外,因为听过一手口述
因为大屏方便,所以把图纸/文档保存在某外国品牌折叠屏的私人手机,然后带上某尚未完工的国之重器上检修调试设备的伙计,我就认识一个
别问,问就是甲方工期紧,效率比安全重要
3 个赞
问题不在于手机是不是境外品牌,而是利用的漏洞是不是0day,有没有手机厂商配合。因为任何手机品牌,包括境内的,都可能出现被远程攻破的漏洞。这个新闻仿佛在暗示只有境外手机会出现漏洞,亦或是境外手机厂商故意配合美国。
4 个赞
原文太vague了,经不起推敲
秘密网攻控制国家授时中心多名工作人员的手机终端,窃取手机内存储的敏感资料
美国安局多次利用窃取的登录凭证,入侵国家授时中心计算机
以iPhone举例,你起码要chain起来:
- 0-click iMessage 漏洞
- tfp0 漏洞
- 密码管理器的漏洞(假设“多名”工作人员没有都把凭证明文存在手机里)
事实上哪有这么好找 就算有这么巧的事儿,也得攒个几年份不更新系统的,要不然系统更新都patch了
3 个赞
那我猜这个锅不是因为厂商配合而是单纯因为厂商拉胯,安全更新发布的很慢。 用户也不会立刻安装,时间窗口就更久了。
前两天看了这个今年defcon的talk,特别逗,中国某黑客研发出了新漏洞,每次在开始利用漏洞发起攻击前一天专门去给厂商交漏洞,这么一来就不算0day了。厂商只是讽刺他“可能还想拿bounty”但我觉得有更深层次的原因。
1 个赞
Pegasus确实之前有0 day的iMessage漏洞 就是不知道中国用的是不是同一个CVE了
2 个赞
可能这个故事的细节是改得面目全非之后才发出来的,甚至让非当事的第三方间谍机构专家看了云里雾里啥也搞不明白。我也实在想不明白授时中心有啥高价值目标值得被偷的…北斗系统的什么密钥?
我猜这事本身也不是什么严重的事(远不如楼上说的图纸被偷重要),只是最近贸易战打打谈谈刚好很需要发布点什么,找不到更适合的事只能库存里抓一件添油加醋凑数。
9 个赞
是这样的,不管这件事是真的还是假的,两边的网络战是每天都在发生的,当个乐子看就好
以前国内可没有私人手机这个概念,都是办公私人一起用,更何况还有恐怖的微信办公。
只是前几年才开始强调公务员不允许用外国手机办公
密码管理器的漏洞是指什么呢?搞定 endpoint 之后因为密码管理器也要在端上使用的,到时候自然会解密,等受害人自己使用的时候就可以拿到了。这提取的肯定不是在 enclave 里的 key 这种东西。
至于 0day / 1day 的问题,我觉得对 iPhone 来说没差,反正那几家能做到手上一直有对应的 0day chain。
1 个赞
你防我我防你
为什么现在工作手机不让用境外品牌了
这不是普通攻击,利用了有效的最短攻击路径:一条iMessage,零交互,直接打穿IOS沙箱,拿到root+TFPO,还能横向Windows/Android。iPhone黑屏锁屏状态下,进程imagiod异常重启。镜像里找不到任何点击记录,却多了一条1.8 MB的“空白图片”iMessage。扔进隔离沙箱,10秒后WebContent进程被重写,接着JavaScriptCore fork出隐藏线程,回连域名带“time-sync”。 涉及CVE:2023-41064、4863。
▎此木马只干四件事:
读keychain里的NTP/PTP证书;
把北斗时码卡参数打包;
扫描10.0.0.0/8,绘内网拓扑;
回传“闰秒文件”修改记录。
▎风险症状:
• 零点击无感知:无需用户交互,收到消息即被入侵
• 攻击投递丰富:通过iMessage、微信、钉钉等任何支持WebP的应用都可触发
• 隐蔽性极强:不留痕迹,难以检测
▎授时功能的威胁影响
时间=信任根。金融撮合、区块链顺序、电网PMU、高铁CBTC、导弹TOT,全依赖UTC同步。一旦授时中心被改表,日志时间戳可以倒流,证书有效期被拉长,高频交易撮合顺序翻转,GPS/北斗欺骗窗口被精准校准。换句话说,偷走“秒”,就能偷走“秩序”。
▎影响范围:远超你想象的数字海啸这个漏洞的恐怖之处在于它的传播链条:
• 苹果全系列设备:iPhone、iPad、Mac,iOS<16.6.1、macOS<13.5.2,默认开启iMessage就算裸奔
• 安卓设备:几乎所有使用系统WebView的App
• 桌面应用:Chrome、Firefox、Edge、Telegram,只要内置图片解码器,一样能被同一条WebP打穿
• 办公软件:微信、钉钉、QQ、飞书等
全球92%的攻击威胁集中在“国防、外交、时频、能源、投行”五类;中国侧70%命中北斗/短波/卫星测控——这不是随机撒网,是精确攻击。
▎木马溯源
加密常量0xA113B00C、证书签发者“QuoVadis TimeStamping”、JA3指纹对得上2021版Pegasus;美国司法部今年2月起诉NSO雇员的诉状第37段直接点名“New 2023 WebP vector for zero-click deployment”。客户名单含五眼联盟某机构,时间窗口与授时中心被刺重合。国家级供应链,实锤。
▎真实攻击:国家级黑客武器:
结论1:美国NSA在2023年(个人认为22年开始)就利用此漏洞,通过iMessage零点击攻击,秘密控制了国家授时中心工作人员的手机。攻击者不需要用户点击任何链接,只需要发送一条包含恶意WebP图片的消息,就能完全控制目标手机。
结论2:飞马间谍软件的升级以色列NSO集团将这个漏洞整合进其著名的Pegasus间谍软件中。2023年夏天,多名俄罗斯记者的iPhone就因此被入侵,攻击者可以:
• 窃取私人照片、短信、邮件
• 秘密开启麦克风录音
• 实时定位跟踪
• 持续访问设备所有数据
当你的手机被零点击拿到root,意味着端到端加密(iMessage、Signal、微信锁屏通知)全部明文;实时麦克风、相机、GPS、AirDrop列表、Wi-Fi密码一键打包;更可怕的是,它能回滚日志、伪造指纹/面容解锁,留下“没来过”的痕迹。手机不是你的,是攻击者的云函数。iphone, andriod手机,普通pc都受影响。
2 个赞
这里有详细的
懒得喷ai内容了
你发的这个cve是ImageIO,就是个framework,连系统服务都不是,打什么沙箱
3 个赞
那也确实行,但是既然考虑到启动验证链的问题,这漏洞几乎没有persistence的可能性,意味着这个malware要在用户关机之前等用户开一次密码管理器,还是有点难度的
我也妹提0day呀,你是不是看错了
潜艇沉了?
看串了,不好意思。
这个还好,因为 persistence 太难了,现在都是不搞 persistence 的,如果目标重启了手机就再打一次。一般人重启手机的频率并不高,几周才重启一次。
1 个赞
八成自导自演