10億臺智能手機的芯片漏洞！世界首例WIFI蠕蟲

如果你最近還沒更新你的iPhone或安卓設(shè)備，最好現(xiàn)在馬上就更新。除非安裝了最新的補丁，否則極少被檢查的WiFi芯片中所含的一個漏洞，可使黑客隱身潛入10億臺設(shè)備中的任何一臺。沒錯，不是百萬臺，不是千萬臺，是10億臺。

侵害范圍這么廣的漏洞極少出現(xiàn)，真是謝天謝地。蘋果和谷歌投入巨資保護他們的移動操作系統(tǒng)，給黑客設(shè)下層層障礙，還為其軟件漏洞開出舉報獎勵。但現(xiàn)代計算機或智能手機就是某種形式上的硅基科學(xué)怪人，渾身插滿來自第三方公司的組件，其中代碼谷歌和蘋果都控制不了。而當(dāng)安全研究員尼泰·阿滕斯坦深入探索驅(qū)動每臺iPhone和大部分現(xiàn)代安卓設(shè)備的博通芯片模塊時，他就發(fā)現(xiàn)了一個可完全破壞掉那昂貴安全投入的漏洞。

該漏洞被阿滕斯坦命名為Broadpwn，上幾周谷歌和蘋果就在加緊著手修復(fù)該漏洞。若未安裝該修復(fù)補丁，置身目標(biāo)WiFi范圍內(nèi)的黑客，便不僅可以黑入受害者手機，還能將受害手機轉(zhuǎn)化為惡意接入點，感染附近的手機，一臺接一臺地擴散，正如阿滕斯坦所描述的——首款WiFi蠕蟲。

雖然該漏洞已被修復(fù)——說真的，趕緊更新，但其仍然能為我們的設(shè)備基本安全提供更深層次的思考。不遠(yuǎn)的將來，智能手機黑客攻擊可能會更少著眼于操作系統(tǒng)，而更多地放在外圍組件的潛在漏洞上。

阿滕斯坦在剛剛落幕的美國黑帽安全大會上展示了他的發(fā)現(xiàn)，并在隨后的《連線》雜志采訪中說：“主流系統(tǒng)，比如搭載了iOS或安卓的應(yīng)用處理器，在密集的安全研究下已經(jīng)被強化了不少，因而安全研究員們開始探索其他的方向。他們開始尋找漏洞利用還沒那么難的地方。”

隨著黑客找尋越來越罕見的無用戶互動攻擊，比如在瀏覽器里打開惡意網(wǎng)頁，或者點擊短信中的惡意鏈接，他們將專注在諸如博通芯片這樣的第三方硬件組件上。

Broadpwn

阿滕斯坦是安全公司 Exodus Intelligence 的一名研究員，他幾年前就懷疑博通的WiFi芯片可能提供了通往智能手機內(nèi)部的新康莊大道。畢竟，現(xiàn)代手機的“內(nèi)核”，如今被各種各樣的防護措施保護得嚴(yán)嚴(yán)實實的，比如防止黑客利用內(nèi)存的地址空間布局隨機化(ASLR)，還有數(shù)據(jù)執(zhí)行保護——防止黑客在數(shù)據(jù)中植入惡意指令誘騙計算機執(zhí)行之。

但博通的WiFi控制器沒有這些防護措施，且在各大生產(chǎn)商和操作系統(tǒng)中都能見到，從最新的三星Galaxy到每一臺iPhone。在黑帽大會的演講中，阿滕斯坦說道：“很明顯，這是一個有趣得多的攻擊界面。你不用重復(fù)工作。只要發(fā)現(xiàn)一個漏洞，就能在多個地方重用。”

于是，大約1年前，阿滕斯坦開始了艱難的博通芯片固件逆向工程。GitHub上意外泄露的博通源代碼幫了他大忙。在代碼挖掘過程中，他很快發(fā)現(xiàn)了問題點。“仔細(xì)查看這些系統(tǒng)，你會像重回過去美好時光一樣發(fā)現(xiàn)漏洞。”

最終，他發(fā)現(xiàn)了一個特別重要的漏洞，隱藏在博通的“關(guān)聯(lián)”過程中，也就是允許手機在連接WiFi之前搜索熟悉的WiFi網(wǎng)絡(luò)的過程。該握手過程開端的一部分，并未恰當(dāng)限定WiFi接入點發(fā)回給芯片的一段數(shù)據(jù)——所謂“堆溢出”漏洞。通過精心編制的響應(yīng)，該接入點可發(fā)送能破壞該模塊內(nèi)存的數(shù)據(jù)，溢出到內(nèi)存其他部分，作為指令執(zhí)行。

可以用特殊方法構(gòu)造畸形響應(yīng)數(shù)據(jù)，獲得在內(nèi)存任意位置寫入的權(quán)力。如果黑客想要遠(yuǎn)程攻擊現(xiàn)代操作系統(tǒng)里受保護的隨機化內(nèi)存，這種溢出是非常難以實現(xiàn)的，但對智能手機上的博通WiFi模塊內(nèi)存使用，卻異常契合。“這是個相當(dāng)特殊的漏洞。”

由于該漏洞存在于博通代碼中負(fù)責(zé)自動關(guān)聯(lián)手機與接入點的部分，拿下WiFi芯片的整個過程，可在用戶毫無所覺的情形下發(fā)生。更糟的是，該攻擊還可將WiFi芯片本身轉(zhuǎn)化為接入點，向WiFi范圍內(nèi)任意脆弱手機廣播該攻擊，在智能手機世界里形成指數(shù)級擴散。

阿滕斯坦自己倒是還沒走到從WiFi芯片擴散到手機內(nèi)核的這一步，但他相信，對有動力的黑客而言，這最后一步不無可能。

對一個有各種資源的真實攻擊者而言，這不是問題。

谷歌在7月初放出了安卓手機的更新，上周，蘋果也跟進了iOS補丁，就在26號阿滕斯坦在博客帖子里揭示完整漏洞信息之前。

最弱一環(huán)

這不是博通漏洞第一次騷擾智能手機行業(yè)了。今年早些時候，蘋果和谷歌就不得不搶救另一個博通WiFi漏洞。該漏洞是谷歌“零日計劃”研究團隊成員加爾·貝尼亞米尼發(fā)現(xiàn)的。與阿滕斯坦的攻擊類似，該漏洞也會導(dǎo)致對WiFi范圍內(nèi)任意安卓或iPhone的權(quán)限獲取。

阿滕斯坦和貝尼亞米尼攻擊的潛在嚴(yán)重性(這些都可能潛伏在手機里多年)，指向了相對未經(jīng)審查的組件中所存漏洞的危險性，比如博通賣出的那些組件。

自2010年起，網(wǎng)絡(luò)安全世界就已經(jīng)越來越注意到第三方芯片的漏洞了，比如處理智能手機通訊的基帶處理器。但就在研究人員更深入地審查基帶芯片時，其他芯片，比如處理WiFi、藍(lán)牙、近場通訊的那些，依然審查得不是那么嚴(yán)格。

高通公司安全工程經(jīng)理阿列克斯·甘特曼辯稱，高通廣為使用的基帶芯片，不受博通芯片那種缺乏防護的困擾。雖然沒有保護操作系統(tǒng)內(nèi)核的那種內(nèi)存隨機化，高通的芯片也是實現(xiàn)了數(shù)據(jù)執(zhí)行保護的。但他也承認(rèn)，Broadpwn那樣的漏洞依然表明，設(shè)備制造商不僅僅需要考慮第三方組件的安全，還要內(nèi)置能夠限制被黑所造成的損害的防護措施。“你必須得將一臺計算機當(dāng)做一個被恰當(dāng)分隔的網(wǎng)絡(luò)，這樣即便獲取了某個組件的控制權(quán)，也控制不了整個系統(tǒng)。”

除非這些手機外圍組件的安全，升級到其操作系統(tǒng)內(nèi)核的安全水平，否則黑客會一直挖掘它們。阿滕斯坦以他自己和谷歌貝尼亞米尼的漏洞發(fā)現(xiàn)為例，指出此類第三方組件黑客攻擊會洶涌而來。

我們倆都在無人探究數(shù)年后選擇了這個研究方向，意味著威脅態(tài)勢正在改變。攻擊者開始轉(zhuǎn)向硬件。我認(rèn)為此類攻擊將會增加。