Chaos iPhone 远程接管漏洞就被用于针对少数民族

与互联网安全和防病毒公司奇虎360合作的一名中国安全研究人员公布了一个错综复杂的漏洞利用程序：该漏洞可以让远程攻击者轻松破解iPhone X iOS 12.1。

研究员赵其勋把这个开发称作称为Chaos，这是有充分理由的。正如这个概念验证视频所显示的那样，成功的利用将允许远程攻击者破解iPhoneX，而目标用户却毫不知情，从而让入侵者获得受害者的数据、处理能力等等。它可以作为恶意软件的直接下载，仅要求iPhone用户访问包含Qixun恶意代码的网页。

它可以成为一个极好的间谍工具，因为它可以让攻击者轻易地控制甚至是最新、最新式的iphone，让窥探者能够读取受害者的信息和密码，并近乎实时地跟踪他们的位置。

根据《麻省理工科技评论》周四发布的一份报告，事实就是这样：“几乎是一夜之间”，中国情报部门据称在苹果解决这个问题之前就将漏洞利用为武器。

该杂志说，根据其消息来源，美国已经收集了如何利用Chaos漏洞攻击中国维吾尔族穆斯林的细节。维吾尔族穆斯林是间谍活动的共同目标。早前的报道支持了这一说法:2019年8月，消息人士告诉TechCrunch，过去两年里用来入侵iphone的恶意网站都在针对维吾尔人。

相似漏洞

谷歌安全研究人员在TechCrunch报告发布的一周前就发现并披露了这些恶意网站，但他们最初并不知道恶意网站的目标是谁。但是，他们知道该代码看起来很熟悉：在深入研究中，Google注意到恶意站点利用与Chaos有多相似。

现在，《麻省理工科技评论》获悉，美国也得出了相同的结论，并且“悄悄地”通知了苹果公司。一直在追踪攻击的苹果已经单独得出了相同的结论：正如媒体所言，Chaos的利用和对维吾尔人的攻击是“一成不变的”。

苹果将优先解决的问题列为优先事项，并于2019年1月发布了更新程序以修复该漏洞。

该补丁是在Chaos在首届“天府杯”揭幕之后两个月到来的：中国黑客大赛是在该国禁止其网络安全研究小组参加Pwn2Own黑客大赛之后的几个月……任何全球性的黑客攻击或抢旗竞赛。

安全技术诀窍不外泄

禁止研究人员参加国外竞赛显然是出于对泄露漏洞的厌恶——通过向会议观众公开或实时泄露黑客程序。禁令和后续推出的天府杯紧随跟着Qixun的公告的老板，奇虎360创始人兼首席执行官、亿万富翁周鸿祎刚刚宣布,批评出口漏洞，这些漏洞一旦公之于众，就“不能再用了”。他说，研究人员和他们的技术都应该“留在中国”，以最大化零日的“战略价值”。

在中国新闻网站新浪网的采访中，这位有影响力的首席执行官称在国外比赛中获得现金奖励的成就是“虚构的”。

赵其勋强烈否认参与其中，他告诉《麻省理工科技评论》，他不记得是谁赢得了天府杯冠军后获得了该漏洞利用代码，他因此获得了20万美元的奖金。尽管他建议针对维吾尔人使用的漏洞可能是在补丁发布之后使用的，但Google和Apple都记录了在2019年1月修复之前如何使用该漏洞。他说，他的漏洞利用程序与其他漏洞利用程序作者共享代码，但是苹果和美国情报人士告诉《麻省理工科技评论》，这些漏洞利用并不相似。实际上，它们是相同的。鉴于中国法律要求公民和组织在被问及情报机构合作时，奇讯可能不会亲自介入。

Threatpost已联系奇讯，奇虎和苹果发表评论，并将相应地更新文章。

FireEye Mandiant威胁情报部门的首席分析Scott Henderson在周五的一封电子邮件中对Threatpost表示，这种情况的现实是，如果中国真的在做报告所声称的事情，那就不足为奇了，不仅仅是维吾尔族在其显微镜下观察。他说：“重要的是要理解，维护国家边界的国家完整和主权是中国的战略要务。” “除了藏族和维吾尔族，北京还监视香港，台湾，天主教会以及过去的法轮功成员。对于参与或什至评论中国人权问题的人权组织以及政府和私人实体而言，这是一个长期存在的问题。”

Henderson说，无论如何，这并不是中国黑客竞赛与国家资助的活动之间首次形成“切线联系”。例如，他指出Mandiant威胁情报部门观察到与中国黑客杯事件有关的基础设施，该事件表明与所谓的TEMP.Avengers威胁者团队的潜在联系。