iPhone曝出“末日”漏洞

近日，微软和公民实验室发现以色列公司QuaDream制造的商业间谍软件使用了名为“末日”（ENDOFDAYS）的零点击漏洞来入侵高价值目标的个人iPhone手机。

存在该零日漏洞的iPhone操作系统包括iOS1.4至14.4.2版本。研究人员发现攻击者在2021年1月至11月期间通过“不可见的iCloud日历邀请”利用该漏洞。

当受害者在iOS设备上收到带有回溯时间戳的iCloud日历邀请时，会自动添加到用户的日历中，整个过程没有任何用户可感知的通知或提示，从而使末日漏洞在没有用户交互（零点击）的情况下运行，并且攻击无法被目标检测到。

公民实验室的研究人员透露：“北美、中亚、东南亚、欧洲和中东的至少发现五名QuaDream间谍软件和漏洞利用的民间受害者。”

此活动中部署的监视恶意软件（被微软称为KingsPawn）还具备自毁功能，可自行删除并清除受害者iPhone中的任何痕迹以逃避检测。

根据公民实验室的分析，该间谍软件具有广泛的“功能”，从录制环境音频和通话到允许威胁行为者搜索受害者的手机。

QuaDream间谍软件的完整功能列表如下：

• 录制电话中的音频
• 从麦克风录制音频
• 通过设备的前置或后置摄像头拍照
• 从设备的钥匙串中泄露和移除项目
• 劫持手机的Anisette框架并挂接gettimeofday系统调用，为任意日期生成iCloud基于时间的一次性密码（TOTP）登录代码。我们怀疑这用于生成对未来日期有效的双因素身份验证代码，以便直接从iCloud持续泄露用户数据
• 在手机上的SQL数据库中运行查询
• 清除零点击漏洞可能留下的痕迹
• 跟踪设备的位置
• 执行各种文件系统操作，包括搜索与指定特征匹配的文件

公民实验室在多个国家/地区发现了QuaDream服务器，包括保加利亚、捷克共和国、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿拉伯联合酋长国和乌兹别克斯坦。

“这份报告提醒人们，间谍软件行业（的攻击能力）比任何一家公司都要强大，研究人员和潜在目标都需要保持警惕。”公民实验室指出：“在通过系统性政府法规遏制商业间谍软件失控和扩散之前，滥用案件的数量可能会继续增长，无论是由具有可识别名称的公司还是仍在暗中运营的公司推动的。”

一年前，公民实验室还披露了iPhone上另外一个iMessage零点击漏洞（称为HOMAGE）的详细信息，该漏洞用于在加泰罗尼亚政客，记者和活动家的iPhone上安装NSO集团间谍软件。

迄今，由NSO Group，Cytrox，Hacking Team和FinFisher等监视技术提供商提供的商业间谍软件已反复部署在存在零日漏洞的安卓和iOS设备上（在大多数情况下，通过目标无法检测到的零点击漏洞）。