【预警通告】IOS远程越狱APT攻击安全威胁

苹果公司昨天针对IOS发布了一个安全更新，涉及到三个0 day漏洞，这次漏洞的发现过程从一次APT攻击开始。大家需要注意，黑客通过漏洞进行远程控制并获得IOS用户的系统最高权限，造成敏感信息泄露、数据破坏等严重后果。

苹果公司三个0 day漏洞如图1所示：

这次漏洞的发现过程从一次APT攻击开始。阿联酋人权活动人士Ahmed Mansoor在他的苹果手机上收到一个含有链接地址的短信，短信声称链接的内容是关于阿联酋虐待监狱囚犯的。Mansoor引起警觉，随即将该链接提供给了加拿大的Citizen实验室。Citizen实验室和Lookout公司的联合研究结果表明，这是一种针对IOS用户的APT攻击，该攻击代码被命名为Pegasus。

Pegasus一共涉及到三个IOS 0day漏洞的利用：CVE-2016-4655、CVE-2016-4656和CVE-2016-4657。这条漏洞链的利用过程如图2所示。

Pegasus的大致攻击步骤是：

1、首先通过SMS短信、邮件等渠道向目标用户的手机上发送一个包含恶意代码的链接，诱骗攻击目标点击链接;

2、点击链接后，Pegasus先利用CVE-2016-4655漏洞实现较低权限的代码执行，CVE-2016-4655漏洞存在于IOS safari浏览器的Webkit组件中;

3、其次，Pegasus利用漏洞CVE-2016-4656造成信息泄露，攻击者可以借此获得内存中的内核地址信息，从而有效绕过内核地址随机化机制(KASLR);

4、最后，Pegasus使用第三个0 day漏洞CVE-2016-4657获得系统内核权限，进一步执行关闭代码签名、掩盖踪迹、写入文件等操作，最终实现越狱。此时，攻击者完全掌握了对目标系统的控制，可以进行进一步的恶意行为，比如安装间谍软件，监听短信和通话，查看Gmail、Calendar和Facebook等各类应用的敏感信息等。

漏洞利用链

Pegasus在越狱之后，会用jsc的二进制代码替换掉一个名为rtbuddyd的守护进程，然后再链接到一个攻击者准备好的js文件。jsc可以让用户使用webkit来解析Javascript代码，从而再次触发漏洞。由于被替换掉的rtbuddyd是开机自动启动的，所以Pegasus可以成功借此实现持久化。

国外已经有详细的技术分析报告，详情请见以下链接：

../../rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

影响的版本 7.0 <= IOS < 9.3.5不受影响的版本 IOS 9.3.5漏洞影响

严重：成功利用此攻击可以远程获得IOS用户的系统最高权限，造成敏感信息泄露、数据破坏等严重后果。

规避方案 升级到苹果厂商发布的最新版本：IOS 9.3.5 不要轻易点击不明来源的链接