近日，ZecOps安全研究人員發(fā)現(xiàn)了iOS WiFi命名漏洞的零交互攻擊利用方式，可以用來遠(yuǎn)程劫持iPhone設(shè)備。

　　Wi-Fi-Demon

　　Wifid 是處理與WiFi連接相關(guān)的協(xié)議的系統(tǒng)daemon。Wifid是以root 權(quán)限運行的。大多數(shù)處理函數(shù)都在CoreWiFi 框架中定義，而且這些服務(wù)無法在沙箱中訪問。

　　6月，研究人員Carl Schou發(fā)現(xiàn)wifid在處理SSID 時存在格式字符串問題。攻擊者利用該wifid漏洞可以引發(fā)DoS攻擊，禁用iPhone的WiFi功能和熱點功能。引發(fā)DoS 攻擊的原因是wifid 會將已知的WiFi SSID寫入硬盤中的以下文件：

　　/var/preferences/com.apple.wifi.known-networks.plist

　　/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup

　　/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist

　　Wifid每次啟動后，就會從文件中讀取SSID并引發(fā)奔潰。及時重啟也無法解決該問題。

　　WiFiDemon 技術(shù)分析：零點擊遠(yuǎn)程漏洞利用

　　研究人員進一步分析發(fā)現(xiàn)：

　　攻擊者無法強迫用戶連接。該漏洞可以以零點擊的非交互形式啟動。受害者只需要將WiFi開啟就會觸發(fā)有漏洞的代碼。

　　研究人員在測試格式字符串bug時，注意到WiFid在無法連接到WiFi時會生成日志。這些日志中包含SSID，表明其中可能受到相同的格式字符串bug影響。該日志與智能設(shè)備的一個常見行為有關(guān)：自動掃描和加入已知的網(wǎng)絡(luò)。

　　當(dāng)用戶使用手機時，iPhone每3秒會掃描WiFi網(wǎng)絡(luò)。此外，如果用戶的手機屏幕關(guān)閉了，仍然會掃描WiFi網(wǎng)絡(luò)，但是掃描頻率會變低一點，掃描的時間從10秒到1分鐘左右。

　　如果用戶連接到已有的WiFi 網(wǎng)絡(luò)，攻擊者可以啟動其他攻擊來斷開設(shè)備的WiFi連接，然后啟動0點擊攻擊。

　　零點擊攻擊：如果惡意AP有密碼保護，且用戶從未加入WiFi網(wǎng)絡(luò)，硬盤中不會保存任何內(nèi)容。在關(guān)閉惡意AP后，用戶的WiFi功能就會正常。用戶不會注意到是否受到攻擊。