iOS再曝重大漏洞 通过虚假WiFi攻击设备
作者:新浪科技
以色列安全公司Skycure周二在RSA信息安全大会上公布了一项iOS 8漏洞，黑客可通过一个虚假的WiFi热点对iOS设备发动攻击。
如果基于iOS 8的iPhone或iPad遭到攻击，大部分连接到互联网的应用都无法使用，一启动就会崩溃，甚至还会导致iOS 8设备无限重启。这种攻击手段主要利用了iOS的SSL漏洞，导致一项应用在试图与服务器建立安全连接时出现崩溃。
要发动攻击，黑客必须要让iPhone或iPad接入一个虚假的WiFi热点。Skycure研究人员表示，黑客可强制iOS设备接入虚假WiFi热点，主要利用了WifiGate漏洞。
无线运营商都在iOS设备中预装了程序，自动连接到特定网络。以AT&T网络上的iOS用户为例，他们的设备会自动连接名为&attwifi&的无线网络，没有任何办法可阻止手机的自动连接。
当然，解锁版iOS设备或Wifi版iPad不会受次影响。但是，通过使用虚假SSID，并在无线路由器上运行该漏洞，几乎所有的iOS设备都会受到影响。即使你不主动打开iOS设备中连接互联网的应用，许多后台应用还是会自动运行。
Skycure并未公布具体的攻击步骤，并表示目前正与苹果公司合作来修复该漏洞。iOS系统近期频繁曝出安全问题，上个月苹果曾修复了影响iOS系统的FREAK安全漏洞。
本周一，应用分析服务公司SourceDNA又发布报告称，约1500项iOS应用存在&HTTPS-crippling&漏洞。该漏洞允许黑客截获用户的加密信息，如密码、银行账号或其他高度敏感信息。
相关新闻：
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
相关的资讯有：
相关的博文有：
对于今年苹果要发布的iPhone 8来说，大家讨论最多的还是它的外形，毕竟联系三年换壳后...
3月16日，一加手机官方宣布将与享誉全球的时尚精品名所colette联合发布OnePlus 3T col...
根据之前的消息，努比亚将会在下周也就是3月21日召开发布会，这次发布会的内容还处于...
AT&T表示，去年宣布的854亿美元收购时代华纳交易已经得到了欧盟的批准。...
据科技博客AppleInsider北京时间3月16日报道，三星电子正在加大对芯片生产的投资，希...
据VentureBeat北京时间3月16日报道，业绩不佳的GoPro为了翻身又要祭出裁员大招了，这...
苹果首款 64 位智能手机 iPhone 5s 于 2013 年秋季发布，但直到 2015 年 2 月份，苹果...
微软公司在3月15日将 iOS 版本邮件应用 Outlook 更新到了 2.16.0 版本，用户安装这个...
在安卓手机中，谷歌系亲儿子的系统升级速度最快，过去是Nexus和Android One，现在是Pi...
火影忍者手游止水技能视频今日被吧友曝光，疑似在内部安卓模拟器拍摄，此前有吧主暗示......
王者荣耀3月9日凌晨体验服更新完毕，本次内容比较多，最受关注的是新英雄东皇太一即将......
阴阳师四大主角皮肤已经曝光，这次活动在3月16日更新之后就会推出，大家通过各种途径......
夜雾迷城活动2月22日5:00—2月28日23:59，本次活动新增套装黎明之冠新月之吻，下面为......
Copyright (C)
All rights reserved.
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请【邪恶】黑客工具箱dSploit使用教程-干掉别人家的Wifi
百度百科说：
dSploit是一款Android平台的网络分析和渗透套件，供IT安全研究人员/极客对移动设备进行专业的安全评估。 dSploit允许你分析、捕捉和发现网络包。你可以扫描网络中的设备，比如手机、笔记本，并且发现他们的操作系统、服务和开放端口进行更深层次的渗透测试。这些特点使得dSploit成为有史以来移动设备上最专业的安全评估软件。
但是吗。。dsploit就是一个黑客工具，从她的图标可以看出来。dsploit能干的事很多，比如中间人攻击/数据包伪造等。但今天主要介绍中间人攻击，因为这是最有趣的。。。
一、安装前的准备
①首先你要有一台有ROOT权限的安卓版本2.3以上的安卓手机
②你的手机要完全安装了BusyBox。
这里给出所需工具的下载：
BusyBox安装器和Dsploit主程序安装器，百度搜索一大把，小五就不分享了，网盘空间也珍贵哦！
首先在手机上安装BusyBox。
启动安装器，给他ROOT权限，然后等待初始化完成
打开BusyBox安装，然后点“安装”等待其安装完成
到此，安装Dsploit准备工作完成！
二、安装Dsploit
&和以上步骤一样，给予权限！
三、嘿嘿，开始干坏事
进入程序后列出的是局域网内的设备。最上面是本机的信息。第二个是路由器的信息，在下面就是局域网内的设备了
选择一个设备进入攻击，这里有好多功能，但最有趣最实用的就是下面的“中间人攻击”
进入中间人攻击。一个个介绍其中的功能。
首先是密码窃取工具，进入后点“开始”，然后目标设备登陆网络账号/FTP账号什么的密码都会被窃取到（但我没成功，打开后域名解析不了，FTP密码也没窃取到，大家试试，应该能行）
然后是会话劫持，它可以侦测目标设备上的会话并显示到本机上。比如，目标机正在访问百度，本机就已经劫持到了
点击就可以进入劫持页面：
下面是重定向，它可以把目标设备的所有http请求都重定向到指定网址，但大部分网站好像都不行，试了几个，uc的官网可以
上电脑上访问百度看看效果，果然被重定向到了uc.cn
接下来是替换图像，可以将网页中的所有图像替换成指定图像，可以是URL也可以是本地。从本地选一张图片：
接下来是我最喜欢的&&脚本插入，可以在所有网页中都插入指定js脚本。进入后选择“自定义代码”，然后输入js代码
在电脑上随意访问网站，js都成功插入，弹出对话框：
最后再介绍一个比较常用的非中间人攻击功能。暴力破解路由器密码。返回上一级目录，选择你的路由器，选择“端口扫描器”，等一会，如果下面显示有东西，就成功了，如果空白，那就是真没有。。
返回，进入登陆密码破解，选择密码词典，密码长度，等待他暴力破破解
如果运气好真破解出来了，那这家Wifi就完全被你霸占了，如果没有，别的功能也够用了。
正在加载中……我们去年3,4月份在iOS还是7.0的时候就发现了一个能在非越狱的ios设备上进行钓鱼的攻击方法 (可以盗取Apple id的密码, gmail的密码等)，很早就报给了apple (Follow-up id: )，到现在apple也没有修复。为了紧跟Project Zero的潮流（90天的漏洞披露策略），现在打算公开demo和细节：&
首先我来解读一下这个demo。在非越狱的iPhone 6 (iOS 8.1.3) 上盗取App Store密码：
/v_show/id_XODgyOTMxMTE2.html
在这个demo中，App Store是货真价实的系统app，但是弹出来的登录框不是App Store的，而是另一个在后台运行的app伪造的。我们知道在沙盒策略中，一个app运行在自己的沙盒空间中，理论上说是无法影响其他app的，如果能够产生影响就是一个很严重的问题。除了沙盒逃逸外，要让这个demo成功还需要具备以下几点要求：1、安装钓鱼app到目标设备。2、后台无限运行并开机启动。3、检测目标app（比如App Store）的运行状态。4、得到Apple ID的用户名以便实施钓鱼攻击。5、弹出钓鱼对话框，并将用户输入的密码上传到服务器。
1、 安装钓鱼app到目标设备。
钓鱼app会使用一些特殊的API函数（后面会讲到，因为这些API不属于PrivateFrameworks，所以不确定是否是private API），所以我们需要考虑如果App Store拒绝接受这种app的情况。如果App Store拒绝接受的话，一般有两个方案：1、采用特殊手段绕过检测：最简单的方法是采用混淆和动态加载，这个是360当年最爱用的方法，后来被Apple发现了，所有app被迫下架了1，2年。复杂的方法请参考Usenix Security的paper：Jekyll on iOS: When Benign
Apps Become Evil。这种方法是先上传一个有溢出漏洞的App到App Store，然后采用远程ROP Attack的方法触发漏洞然后调用private API。2、使用企业证书或者开发者证书签名app。这样的话就不通过App Store，而是通过USB等方法直接安装App到手机上。也就是PP助手，同步推使用的手法。想要做到这点很简单，一个国外的开源库libimobiledevice（http://www.libimobiledevice.org/）就可以满足你的需求。
2．后台无线运行并开机启动。
这个有好几种方案，我这里简单介绍两种：1、如果是采用企业证书或者开发者证书传播的话，只需要在UIBackgroundModes的plist里添加：Continuous，unboundedTaskCompletion和VOIP的属性即可。前两个算是private API，如果上传到App Store是不会通过审核的。2、如果想要上传到App Store，就需要伪装成一个VOIP类型的App，这样的话可以做到开机启动。随后可以采用后台播放无声音乐的方法做到后台运行，播放工具可以采用AVAudioPlayer 这个对象，然后声明一个AudioSessionProperty_OverrideCategoryMixWithOthers的属性。因为是MixWithothers，在面板上不会有任何显示，用户并不会发现有音乐在播放，并且其他播放器在放音乐的时候也没有任何影响。
3．检测目标app（比如App Store）的运行状态。这个也有好多方法，简单介绍两个：1、UIDevice Category For Processes （/forrst/posts/UIDevice_Category_For_Processes-h1H）。通过这种方法，可以获取到当前运行的程序。Demo中就是每隔5秒钟检测一次当前运行的程序是否有App Store，如果有，弹出钓鱼对话框。2、获取所有安装的app的信息。使用LSApplicationWorkspace这个对象可以获取到所有已经安装的App的信息。
4．得到Apple ID的用户名以便实施钓鱼攻击。这个细节请参考CVE-。
5．弹出钓鱼对话框，并将用户输入的密码上传到服务器。正常的对话框是采用UIAlertView这个类，但是用这个类产生的对话框只能在自己app的view上显示。但如果采用CoreFoundation 这个framework （非private framework）中的CFUserNotificationCreate()和 CFUserNotificationReceiveResponse()方法的话，一个app就可以跳出沙盒的限制，并且在别的app界面上弹出自己的对话框。比如下图，第一个是真正的对话框，而第二个是我伪造的，为了区分，我故意把K变成了小写。通过CFUserNotificationCreate()这个API，我们可以伪造很多应用的登陆对话框，不光是App
Store，还可以是YouTube，Gmail，天猫等等。因为伪造的对话框和真实对话框没有任何区别，用户中招的几率会变得非常大。这个API本来是为Mac OS X设计的，但是因为iOS和Mac OS X共用了一些基本的底层框架，但是在iOS并没有屏蔽这个API接口，也没有做任何的权限检测，最后导致了沙盒逃逸。
总结：人们往往认为iOS比android的安全，所以在使用苹果手机的时候格外大胆，但事实并非如此。通过几个漏洞的combo，黑客们可以很容易的骗取你的帐号密码。更恐怖的是，本文所展示iOS漏洞也只是冰山一角。在我们ASIACCS 15论文中，我们还介绍了iOS远程控制，监控等漏洞的利用，有兴趣的同学可以继续学习。
参考文章：
1. Min Zheng, Hui Xue, Yulong Zhang, Tao Wei, John C.S. Lui.
&Enpublic Apps: Security Threats Using iOS Enterprise and Developer Certificates&. (Full Paper)&
Proceedings of 10th ACM Symposium on Information, Computer and Communications Security (ASIACCS 2015)
2. Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, and Wenke Lee.
&Jekyll on iOS: When Benign Apps Become Evil&,&Proceedings of&Usenix Security 2013
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：1973次
排名：千里之外}