端点防护业者iVerify发现一个骇客组织利用iPhone上的iMessage漏洞,无需使用者互动就能攻击欧美政治人物、媒体高层、AI厂商等重要人物,而这些受害者也曾遭到Salt Typhoon的攻击。
去年底到今年三月间之前,多位iPhone用户发生手机当机事件,iVerify研究人员分析是和iMessage有关的零点击攻击,这波攻击源自iMessage的imagent行程(process)中的一个漏洞,该漏洞基于其功能和位置因而之前未曾被揭露,iVerify将其命名为NICKNAME。
研究人员解释命名的由来。iPhone允许用户为联络人设定暱称或虚拟化身,而当攻击者接连快速重复发送暱称更新到iMessage就会触发「使用已释放记忆体」(use-after-free)毁损,这让NICKNAME成为一个更大范围攻击串最好的起始点。
研究人员发现,有6名iPhone用户遭到和iMessage有关的攻击。其中一名用户手机频繁发生当机后,iMessage附件在数秒内被一次大量删除或新增的异常情形。这类异常情况仅发生在高价值,如重要政经人物身上,当机率在50000部iPhone 中,有此类当机比例仅0.0001%。另一个证据是,其中一位用户是欧盟资深政府官员,他曾接到苹果发送威胁通知,这类通知的对象是国家骇客或政府监听活动锁定的iPhone用户。
研究人员相信,6名iPhone用户中,4人手机明显有和NICKNAME相关的签章,2人手机更显示了成功滥用漏洞的迹象。所有受害人都证实也曾经遭到中国骇客Salt Typhoon的攻击,他们有人不愿与中共同一路线,有人则是投入抗中活动。
差分分析显示,NICKNAME影响iOS 18.3,苹果已经修补,但是该漏洞可能只是更大攻击串的其中一段,因此研究人员认为无法下结论说这波攻击已经平息。