2016年iOS公开可利用漏洞总结

0x00 序

iOS的安全性远比大家的想象中脆弱，除了没有公开的漏洞以外，还有很多已经公开并且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），希望能够对大家移动安全方面的工作和研究带来一些帮助。

0x01 iOS 10.1.1 公开的可利用漏洞

1. mach_portal攻击链：该攻击链是由Google Project Zero的Ian Beer公布的。整个攻击链由三个漏洞组成:损坏的内核port的uref可导致任意进程的port被越权替换（CVE-2016-7637），powerd任意port替换可导致DoS（CVE-2016-7661），因为set_dp_control_port没有上锁导致的XNU内核UaF（CVE-2016-7644）。

攻击者先使用CVE-2016-7637将launchd与”com.apple.iohideventsystem”系统服务具有发送权限的port替换成自己控制的进程的port，并攻击者还具有该port的接收权限。然后，攻击者利用CVE-2016-7661对powerd这个进程进行DoS，使其重启。在启动过程中，因为powerd的启动需要用到”com.apple.iohideventsystem”系统服务，于是将task port发送给了这个系统服务。但因为攻击者利用之前的CVE-2016-7637漏洞获取了”com.apple.iohideventsystem”系统服务port的接收权限，因此攻击者获得了powerd的task port，从而控制了具有root权限并且在沙盒外的powerd进程。攻击者随后利用powerd进程的task port获取到了host_priv port，然后利用host_priv port触发因set_dp_control_port没有上锁而导致的XNU内核UaF（CVE-2016-7644）漏洞，从而控制了kernel task port。攻击者在获取了kernel task以后，就可以利用系统提供的mach_vm_read()和mach_vm_write()去进行任意内核读写了。

2016年12月22日，qwertyoruiop在Ian Beer公布的mach_portal攻击链的基础上，加入了KPP的绕过、内核patch和cydia的安装，并在自己的twitter上发布了iOS 10.1.*的越狱。

0x02 iOS 9.3.4 公开的可利用漏洞

1. PEGASUS 三叉戟攻击链：该攻击链是在对阿联酋的一位*活动家进行apt攻击的时候被发现。整个攻击链由三个漏洞组成：JSC远程代码执行（CVE-2016-4657），内核信息泄露（CVE-2016-4655），内核UAF代码执行（CVE-2016-4656）。

在浏览器漏洞方面，由于iOS系统的JavaScriptCore库的MarkedArgumentBuffer类在垃圾回收的时候可能会造成内存堆破坏，导致黑客可以使用该漏洞泄露对象地址以及执行任意指令。在内核漏洞方面，由于XNU内核的OSUnserializeBinary()函数在反序列化用户态传入的数据时没有对OSNumber的长度进行校验，导致可以泄露内核的栈信息。利用精心构造的OSString对象，还可以触发UAF漏洞并导致内核代码执行。利用该攻击链可以做到iOS上的远程完美越狱，可以说是近几年来影响最大的iOS漏洞之一了。并且在未来，极有可能出现利用该漏洞的iOS大面积挂马事件。

0x03 iOS 9.3.3 公开的可利用漏洞

1. IOMobileFramebuffer Heapoverflow 内核漏洞: 该漏洞存在于IOMobileFramebuffer这个内核服务中。在IOMobileFramebuffer::swap_submit(IOMFBSwap *)这个函数中，因为没有对用户态传入的IOMFBSwap数据进行校验，从而导致内核堆溢出。利用该漏洞可以在沙盒内（不需要沙盒逃逸）直接对内核进行攻击，并完成非完美越狱。该漏洞在iOS 9.3.3盘古越狱(女娲石)中被使用。

0x04 iOS 9.3.2 公开的可利用漏洞

1. WebKit RCE heapPopMin 远程代码执行漏洞: 因为Webkit模块中的WebCore ::TimerBase::heapPopMin()存在内存破坏漏洞，利用该漏洞可以对iOS设备进行远程攻击。当用mobile safari浏览有恶意攻击代码的网页的时候，safari将会被黑客控制。但要注意的事，被控制的仅仅是safari，想要获取用户数据还需要进行沙盒逃逸，想要控制手机还需要对内核进行攻击。另外，因为webkit不光存在于iOS中，因此该漏洞还被用于PS4，Kindle等设备的越狱。

2. GasGauge 条件竞争内核漏洞: 该漏洞存在于GasGauge这个内核服务中，因为在free内存的时候没有进行加锁操作，黑客可以开多个线程进行free操作，当竞争成功的时候可以造成double free的漏洞，随后可以转化为任意zone的UAF并控制内核，并完成非完美越狱。需要注意的是，该内核服务并不能在沙盒内直接访问，所以想要利用该漏洞，需要先做到沙盒逃逸。

0x05 iOS 9.3.1 公开的可利用漏洞

1. inpuTbag Heapoverflow 内核漏洞: 该漏洞是阿里移动安全的OverSky团队发现并公布的，该漏洞存在于IOHIDDevice这个内核服务中，因为没有对Input report的szie做检测从而造成内核堆溢出。利用该漏洞可以对内核进行攻击，并完成非完美越狱。需要注意的是，该内核服务需要在沙盒外并拥有"com.apple.hid.manager.user-access-device"这个entilement才能访问，所以想要利用该漏洞，需要先做到沙盒逃逸，然后绕过entilement的检测才能利用。

0x06 iOS 9.1 公开的可利用漏洞

1. CVE-2015-7037 Photos 沙盒逃逸漏洞: 该漏洞存在于com.apple.PersistentURLTranslator.Gatekeeper这个系统服务中，在盘古越狱中被使用，通过利用改漏洞，一个在沙盒内的app可以做到mobile权限的沙盒外任意文件读写，配合dyld的漏洞可以做到沙盒外的任意代码执行。

2. CVE-2015-7084 IORegistryIterator 内核漏洞: 该内核漏洞存在于IOKit中，因为IORegistryIterator对象没有线程互斥的保护，导致对成员进行操作的时候可能出现错误。该漏洞可以在沙盒内直接通过race condition触发, 随后转化为内核信息泄露以及内核的代码执行，并做到非完美越狱。

0x07 iOS 9.0 公开的可利用漏洞

1. CVE-2015-6974 IOHIDFamily 内核漏洞：该漏洞存在于IOHIDResource这个内核服务中，在terminateDevice后，系统没有将device设置为NULL, 从而造成UAF漏洞。该漏洞在盘古iOS 9.0越狱中被使用，利用该漏洞可以做到内核的任意读写，并完成非完美越狱。需要注意的是，该内核服务并不能在沙盒内直接访问，所以想要利用该漏洞，需要先做到沙盒逃逸。

0x08 总结

可以看到2016年的公开可利用的漏洞数量是非常巨大的，相对2015年可以说是有了一个指数级的增长。虽然苹果更新系统的速度非常快并且无法降级，但随着老设备（iPhone 4s及以下已无法升级iOS 10）越来越多，并且用户对新系统期望越来越低，iOS设备的更新率已经变得非常缓慢。

根据某专业移动分析平台2016年12月的数据可以看到，仅有3.28%的设备更新了最新版的iOS 10.2。这意味着96.72%的设备都有被最近刚发布的mach_portal漏洞攻击的风险。我们相信，在新的一年，iOS的漏洞数量还会持续增加，并且随着漏洞利用技术的公开，黑灰产也极有可能利用漏洞对用户进行攻击，希望广大用户一定要注意自己iOS设备的安全。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，同时也希望多多支持！

# iOS  # 漏洞  # Cisco IOS漏洞再现XR新架构IOS逃过一劫  # 可利用  # 盘古  # 的是  # 可以做到  # 需要注意  # 能在  # 可以看到  # 转化为  # 女娲  # 阿联酋  # 自己的  # 是在  # 都有  # 还可以  # 多个  # 将会  # 有可能  # 不需要  # 基础上  # 是由 

相关文章： 建站之星在线客服如何快速接入解答？  建站之星体验版：智能建站系统+响应式设计，多端适配快速建站  免费视频制作网站,更新又快又好的免费电影网站？  建站10G流量真的够用吗？如何应对访问高峰？  C++ static_cast和dynamic_cast区别_C++静态转换与动态类型安全转换  建站之星安装路径如何正确选择及配置？  如何选择高效响应式自助建站源码系统？  长沙做网站要多少钱,长沙国安网络怎么样？  如何快速生成高效建站系统源代码？  如何制作算命网站,怎么注册算命网站？  ,巨量百应是干嘛的？    盐城做公司网站,江苏电子版退休证办理流程？  c# 在高并发场景下，委托和接口调用的性能对比  如何用腾讯建站主机快速创建免费网站？  如何用搬瓦工VPS快速搭建个人网站？  小说建站VPS选用指南：性能对比、配置优化与建站方案解析  建站主机是什么？如何选择适合的建站主机？  如何在阿里云虚拟主机上快速搭建个人网站？  教程网站设计制作软件,怎么创建自己的一个网站？  实现点击下箭头变上箭头来回切换的两种方法【推荐】  如何通过wdcp面板快速创建网站？  如何破解联通资金短缺导致的基站建设难题？  南平网站制作公司,2025年南平市事业单位报名时间？  建站之星安装后界面空白如何解决？  西安市网站制作公司,哪个相亲网站比较好?西安比较好的相亲网站？  5种Android数据存储方式汇总  外贸公司网站制作,外贸网站建设一般有哪些步骤？  如何通过NAT技术实现内网高效建站？  如何登录建站主机？访问步骤全解析  北京制作网站的公司排名,北京三快科技有限公司是做什么？北京三快科技？  如何用5美元大硬盘VPS安全高效搭建个人网站？  广州营销型建站服务商推荐：技术优势与SEO优化解析  山东云建站价格为何差异显著？  北京网站制作网页,网站升级改版需要多久？  网站海报制作教学视频教程,有什么免费的高清可商用图片网站，用于海报设计？  北京企业网站设计制作公司,北京铁路集团官方网站？  如何在景安云服务器上绑定域名并配置虚拟主机？  制作网站外包平台,自动化接单网站有哪些？  如何用PHP工具快速搭建高效网站？  制作证书网站有哪些,全国城建培训中心证书查询官网？  网站制作怎么样才能赚钱,用自己的电脑做服务器架设网站有什么利弊，能赚钱吗？  西安大型网站制作公司,西安招聘网站最好的是哪个？  如何快速搭建虚拟主机网站？新手必看指南  如何在阿里云部署织梦网站？  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  C#如何序列化对象为XML XmlSerializer用法  中山网站制作网页,中山新生登记系统登记流程？  高性能网站服务器配置指南：安全稳定与高效建站核心方案  网站设计制作书签怎么做,怎样将网页添加到书签/主页书签/桌面？