iOS Mail 客户端漏洞很可能已经被远程利用

最新推荐文章于 2022-03-02 10:38:04 发布
最新推荐文章于 2022-03-02 10:38:04 发布
阅读量952 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/106117709
版权
文章探讨了iOS默认邮件应用中的远程堆溢出漏洞,证实了其可被远程利用的可能性,包括远程触发、代码执行和权限提升。通过分析野外观察到的触发器示例,揭示了漏洞的攻击性能,并提出利用方法。虽然尚未发现信息泄漏,但攻击者可能通过其他进程如iMessage实现信息泄露。文章还呼吁苹果改进日志系统以助于调查设备入侵。
摘要由CSDN通过智能技术生成

iOS Mail 客户端漏洞很可能已经被远程利用

在ZecOps 团队宣布在iOS的默认邮件应用程序中发现RCE漏洞之后,已经有很多用户联系了他们,他们怀疑自己成为了这个漏洞的攻击目标。

在这篇文章中,我们将介绍一种简单的方法来喷洒堆,通过这种方法,我们可以证明远程利用这个漏洞是可能的。除此之外,我们还将提供两个在野外观察到的触发器示例。

目前,我们已经发现了该漏洞具有以下攻击性能:

1.邮件应用程序中的远程堆溢出;

2.能够通过传入邮件由攻击者控制的输入内容来远程触发漏洞;

3.改变代码执行的能力;

4.事实提升访问内核的权限;

不过,我们并没有发现该漏洞可以泄漏消息,但让人感到惊讶是,奇热信息泄漏并不是存在于邮件中,而是存在于其他过程中。因为dyld_shared_cache是通过大多数进程共享的,因此信息泄漏漏洞不一定必须存在于MobileMail中,例如iMessage的CVE-2019-8646也可以远程实现这个功能,这就打开了额外的攻击面(Facetime、其他应用、iMessage等)。本文,我们会远程利用这个漏洞所具有的所有特性。尽管如此,我们还是要做以下说明:

1.我们无意公开LPE,它允许我们在需要时对A12及更高版本的设备执行文件系统提取或内存检查。你可以在FreeTheSandbox.org 上了解更多关于移动设备的漏洞信息。

2.我们还没有在野外看到对本地特权升级(LPE)漏洞的利用

我们还将分享我们在野外看到的两个触发器示例,并让你做出自己的推断和结论。

MailDemon赏金

最后,对于那些能够证明他们遭到攻击的示例,我们将提供赏金。

iOS Mail 客户端漏洞很可能已经被远程利用

利用MailDemon

如前所述,MailDemon是一个很好的利用对象,因为它覆盖了MALLOC_NANO内存区域的模块,而MALLOC_NANO内存区域存储了大量的Objective-C对象。因此,它允许攻击者操纵已被攻击对象的ISA指针(允许他们引起类型混淆)或重写函数指针来控制进程的代码流,这是接管受影响过程的可行方法。

堆喷和堆整理技术

为了控制代码流,需要进行堆喷射以将制作的数据放入内存中。使用包含“dealloc”方法的伪方法缓存的伪造类,我们可以使用此方法触发漏洞后控制程序计数器(PC)寄存器。

下面是测试POC时生成的部分崩溃日志:

Exception Type:  EXC_BAD_ACCESS (SIGBUS)
Exception Subtype: EXC_ARM_DA_ALIGN at 0xdeadbeefdeadbeef
VM Region Info: 0xdeadbeefdeadbeef is not in any region.  Bytes after previous region: 16045690973559045872  
      REGION TYPE                      START - END             [ VSIZE] PRT/MAX SHRMOD  REGION DETAIL
      MALLOC_NANO            0000000280000000-00000002a0000000 [512.0M] rw-/rwx SM=PRV  
--->  
      UNUSED SPACE AT END
 
Thread 18 name:  Dispatch queue: com.apple.CFNetwork.Connection
Thread 18 Crashed:
0   ???                               0xdeadbeefdeadbeef 0 + -2401053088876216593
1   libdispatch.dylib                 0x00000001b7732338 _dispatch_lane_serial_drain$VARIANT$mp  + 612
2   libdispatch.dylib                 0x00000001b7732e74 _dispatch_lane_invoke$VARIANT$mp  + 480
3   libdispatch.dylib                 0x00000001b773410c _dispatch_workloop_invoke$VARIANT$mp  + 1960
4   libdispatch.dylib                 0x00000001b773b4ac _dispatch_workloop_worker_thread  + 596
5   libsystem_pthread.dylib           0x00000001b796a114 _pthread_wqthread  + 304
6   libsystem_pthread.dylib           0x00000001b796ccd4 start_wqthread  + 4
 
 
Thread 18 crashed with ARM Thread State (64-bit):
    x0: 0x0000000281606300   x1: 0x00000001e4b97b04   x2: 0x0000000000000004   x3: 0x00000001b791df30
    x4: 0x00000002827e81c0   x5: 0x0000000000000000   x6: 0x0000000106e5af60   x7: 0x0000000000000940
    x8: 0x00000001f14a6f68   x
最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ios 请求返回很慢_iOS汇编教程(四)基于 LLDB 动态调试快速分析系统函数的实现...
weixin_28728715的博客
12-15 463
系列文章iOS汇编入门教程(一)ARM64汇编基础iOS汇编入门教程(二)在Xcode工程中嵌入汇编代码iOS汇编入门教程(三)汇编中的 Section 与数据存取前言在前三篇文章中,主要介绍了汇编中的常见指令和寻址方法,本文将结合这些知识介绍一种基于汇编代码和动态调试快速分析函数逻辑的方法。在进行逆向工程,或是涉及到底层的正向开发(如性能优化、安全防护)时,常常会使用一些系统级的函数,...
Apple Mail发现多处漏洞
qq_45434762的博客
04-24 570
漏洞背景2020年04月24日,发现安全取证公司zecOps在其博客中发布了一篇Apple Mail多个在野漏洞分析,该漏洞在一定的条件下可以无交互触发远程代码执行漏洞漏洞等级:严重。...
苹果邮件App漏洞?不要慌
XZZ_2018的博客
04-27 2133
大家好,才是真的好。 这几天科技界的大新闻主要集中在苹果设备内置的mail App上,据安全公司ZecOps公司报告,iOS邮件App存在严重漏洞,苹果公司业已承认,并正在开发修复程序。 漏洞很严重啊,可远程触发。攻击人先发一封看似空白的电子邮件给受害者,如果受害人点击该邮件,则苹果设备将会崩溃并重置,攻击者便可趁机窃取设备上的数据,如照片和联系人等信息。 漏洞一经暴露,很多客户纷纷询问,使用邮...
dyld: Library not loaded: /usr/lib/libcrypto.35.dylib
chenyijun的专栏
12-21 1459
dyld: Library not loaded: /usr/lib/libcrypto.35.dylib   Referenced from: /System/Library/PrivateFrameworks/MobileDevice.framework/Versions/A/MobileDevice 原因是升级iTunes时MobileDevice依赖libcrypto.35.dylib,...
iOS应用程序的Crash报告结构分析
不一样的焰火
08-24 533
本文分析了一份标准的iOS应用程序的Crash报告,它通常由以下6个部分组成。 1. 报告头(Header) 报告头包含了应用程序以其运行环境的一些基本信息,下面是报告头的一个例子。 复制代码Incident Identifier: E6EBC860-0222-4B82-BF7A-2B1C26BE1E85 CrashReporter Key: 6196484647b3431a9bc2833c1
iOS邮件— ProtonMail iOS客户端应用程序-Swift开发
05-27
iOS邮件简介iOS邮件— ProtonMail iOS客户端应用程序该应用程序适用于ProtonMail服务的所有用户。 无论是付费还是免费,他们都可以撰写和阅读电子邮件,管理文件夹和标签,管理某些帐户设置并创建新帐户。 该应用...
2016年iOS公开可利用漏洞总结
01-04
iOS的安全性远比大家的想象中脆弱,除了没有公开的漏洞以外,还有很多已经公开并且可被利用漏洞,本报告总结了2016年比较严重的iOS漏洞(可用于远程代码执行或越狱),希望能够对大家移动安全方面的工作和研究带来...
iOS客户端
03-25
iOS平台上开发客户端应用,尤其是涉及到文件操作如上传、下载、新建目录和删除目录等功能时,通常会利用网络协议来实现这些功能。在这个场景中,标签"ftp"表明了使用的是FTP(File Transfer Protocol,文件传输...
IOS MQTT客户端 Swift:MQTT客户端
最新发布
04-12
IOS版本:支持IOS15.0以上版本 开发工具:xcode13及以上 功能:实现MQTT基本功能,包括连接、登录、定阅、发布、收报解析 仅有基本功能。其他待完善后上传。 +++++++++++++++++++++++++++++++++++++++++++++++++++++...
exception EXC_RESOURCE - WAKEUPS 分析(二)
weixin_30244681的博客
09-21 2734
一、问题:   直播助手在使用ReplayKit2 Extension的过程中,ReplayKit2的Upload进程工作在后台模式,苹果对处于后台的进程进行了内存和CPU资源的限制。   对于内存:     每种Extension的限制不同,ReplayKit2 Extension 的内存限制是 Active Memory limit = 50MB, 如果使用的物理内存超过这个限...
使用IOS 10 / XCODE 8.1 遇到 libsystem_kernel.dylib`__abort_with_payload问题的解决方法
chy305chy的专栏
11-02 8471
项目中存取图片需要访问系统相册和相机,使用Xcode 8.1+iOS10进行调试的时候,总是报 libsystem_kernel.dylib`__abort_with_payload的错误。解决方法如下: 在info.plist中增加:Privacy - Photo Library Usage Description,value部分写为何获取权限的理由;增加:Privacy - Camera U
滥用单例之dispatch_once死锁
fishmai的专栏
07-27 5177
现象 上周排查了一个bug,现象很简单,就是个Crash问题。但是读了一下crash Log以后,却发现堆栈报的错误信息却是第一次见到(吹牛的说,我在国内的iOS也能算第十二人了),包含以下还未符号化信息: Application Specific Information: com.xxx.yyy failed to scene-create in time Elapsed total
iOS 数组越界 Crash处理经验
jxncwzb的专栏
04-02 1万+
彻底解决数组越界 -[__NSArrayI objectAtIndex:]: index 100 beyond bounds [0 .. 1]' 错误。
Macos IDEA(2021.3.2)启动失败记录
xiaodong010203的博客
03-02 742
找解决方法,发现这个:记录一次idea 2021.2启动不了 照做后发现还是有问题,再看报错提示信息,发现其他地方还存在.vmoptions,路径如下: 打开这个文件之后删除-javaagent这一行,再打开IDEA。 结果还是报错,提示某个Plugin找不到类,需要重启,重启完又是报下一个插件找不到。 故而,直接进入/Application Support/JetBrains 目录, 将plugins目录全部删除。 最后,重启IDEA,即可打开。 ...
如何看懂iOS的Crash报告
WangFei
06-13 6946
本文分析了一份标准的iOS应用程序的Crash报告,它通常由以下6个部分组成。 1. 报告头(Header) 报告头包含了应用程序以其运行环境的一些基本信息,下面是报告头的一个例子Incident Identifier: E6EBC860-0222-4B82-BF7A-2B1C26BE1E85 CrashReporter Key: 6196484647b3431a9bc2833c19422
Crash优化与建议
06-27 2795
文章目录一、Crash与信号1.1 Crash是如何产生的1.1.1 signal1.1.2 signal处理流程1.1.3 signal捕获1.2 Crash日志简析二、Crash优化思路2.1 分析问题2.2 可复现的crash2.3 难复现的crash2.3.1 根据信号分析2.3.2 根据exception信息提示2.3.3 根据异常地址2.3.4 根据寄存器信息2.3.5 根据附加信息2...
iOS应用崩溃日志揭秘
热门推荐
cy-app
04-09 6万+
转自 http://www.raywenderlich.com/zh-hans/30818/ios应用崩溃日志揭秘 本文作者是 Soheil Moayedi Azarpour, 他是一名独立iOS开发者。 作为一名应用开发者,你是否有过如下经历? 为确保你的应用正确无误,在将其提交到应用商店之前,你必定进行了大量的测试工作。它在你的设备上也运行得很好,但是,上了应用商店后
利用 outlook 2000 漏洞发送邮件的原理
wt123379493的专栏
05-06 1030
<br />一次偶然的机会我发现了outlook2000 的这个漏洞,不过在outlook2003 上开始这个漏洞已经没有了,最近我发现还有不少非 IT 认识 在xp 上还是在使用outlook2000,所以把这个写出来,源代码我已经删掉了,不过程序中我原来的一个项目里使用至今。<br /> <br /> <br />原理是:<br />      1.  利用 mapi  调用outlook 发送邮件 <br />      2.  正常情况下,outlook2000 会弹出一个对话框让用户输入用户名密码
memmove解决内存重叠问题
qq_40181728的博客
08-21 2007
当使用memcpy时,存在内存重叠问题时可能会出错,memmove解决了此问题,解决问题的方法是当出现内存重叠时,从后往前开始拷贝,具体的memcpy和memmove参考博客:https://www.cnblogs.com/luoquan/p/5265273.html memcpy的原理如下所示: void *memcpy(void *dest, const void *src, size_t count) { assert(dest != NULL || src != NULL); char *tmp
iOS网站客户端开发入门与实践经验分享
本文的总结部分强调了在iOS网站客户端开发中的关键学习点,包括如何处理不同平台间的兼容性问题,利用第三方库简化网络请求,以及如何根据用户反馈迭代和优化产品。通过实际项目的分享,作者希望为初学者提供有价值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值