網絡安全公司卡巴斯基在今年 6 月份發布公開報告稱該公司部分員工使用的有史 iPhone 遭到了入侵，攻擊者使用多個高度復雜的最復雜零點擊漏洞，在不需要受害者進行任何交互的攻擊攻擊蘇州吳中外圍商務模特（外圍）vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達情況下感染 iPhone 并實現持續監聽。

此次事件被卡巴斯基命名為三角測量 (IOSTriangulation)，鏈卡漏洞藍點相關漏洞通報給蘋果后，巴斯布角蘋果在 6 月下旬集中發布多個更新對漏洞進行修復。測量

不過彼時相關漏洞的細節細節并未公布，畢竟 iPhone 升級也是有史要時間的，一般研究人員都會滯后公布漏洞細節，最復雜避免有攻擊者趁著部分用戶尚未升級然后抓緊時間利用漏洞。攻擊攻擊

現在漏洞發布已經過去半年，鏈卡漏洞藍點蘇州吳中外圍商務模特（外圍）vx《192-1819-1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達在最新舉辦的巴斯布角混沌通信大會 (Chaos Communication Congress) 上，卡巴斯基團隊的測量研究人員發布了詳細的報告以及技術細節分享給其他安全研究人員。

卡巴斯基稱以色列商業間諜軟件開發商 NSO 集團的細節飛馬座開采的 iMessage 零點擊漏洞被稱為技術上最復雜的漏洞之一，而三角測量攻擊看起來處于同樣的有史可怕水平。

下面是卡巴斯基公布的完整的攻擊鏈，包括用于獲取受害者設備 root 權限的四個 0day 漏洞：

1. 攻擊者向目標用戶發送惡意 iMessage 附件，當受害者的 iPhone 收到消息時，iMessage 不會有任何提醒、同時自動處理該附件；

2. 這個惡意附件利用了未記錄的、蘋果獨有的 ADJUST TrueType 字體指令中的遠程代碼執行漏洞 CVE-2023-41990；

3. 惡意代碼使用面向返回 / 跳轉的編程和用 NSExpression/NSPredicate 查詢語言編寫的多個階段，然后利用 JavaScriptCore 庫環境執行權限提升；

4. 攻擊者利用的 JavaScript 漏洞被混淆，這導致代碼不可讀，盡管如此研究人員發現攻擊者大約使用了 11,000 行代碼，主要用于 JavaScriptCore 和內存解析操作；

5. 攻擊者利用 JavaScriptCore 調試功能 DollarVM ($vm) 來獲得從腳本操作 JavaScriptCore 內存并執行本機 API 的能力；

6. 攻擊者為了支持新舊 iPhone，所以還做了一個包含指針身份驗證代碼的繞過功能，可以用在最新款 iPhone 上；

7. 攻擊者利用 XNU 內存映射系統中的整數溢出漏洞 CVE-2023-32434 來獲取用戶級別對設備整個物理內存讀 / 寫的訪問權限；

8. 攻擊者使用硬件內存映射 I/O 寄存器來繞過頁面保護層，此問題已經通過 CVE-2023-38606 進行緩解；

9. 利用所有漏洞后，JavaScript 漏洞可以針對設備執行任何操作，包括運行間諜軟件，但攻擊者選擇：

a. 啟動 IMAgent 進程并注入有效負載以清除設備中的漏洞利用痕跡；

b. 以不可見模式運行 Safari 進程，并將其轉發到下一攻擊階段使用的網頁；

10. 該網頁有一個腳本來驗證受害者，如果檢測通過則轉到下一階段：Safari 漏洞利用；

11.Safari 漏洞利用 CVE-2023-32435 來執行 shellcode；

12.shellcode 以 Mach 目標文件的形式執行另一個內核漏洞利用，它使用相同的漏洞：CVE-2023-32434 和 CVE-2023-38606，這與使用 JavaScript 編寫的內核漏洞完全不同，不過目標也是用于內存解析操作，但在后期攻擊者大部分功能并未使用；

13. 該漏洞利用獲得 root 權限并繼續執行其他階段，包括加載間諜軟件等。

卡巴斯基稱攻擊者幾乎對攻擊鏈的各個方面都進行了逆向工程，可見攻擊者的目標也不是一般目的，也就是主要目的其實可能是間諜行為和政治目的。

卡巴斯基團隊計劃在 2024 年發布更多文章介紹三角測量攻擊的內容，關于本篇內容有興趣的用戶請閱讀卡巴斯基報告原文，里面包含各個漏洞的解析：https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/

(責任編輯：休閑)