手機關機後可不可能被入侵?近日德國一家大學的實驗室研究認為可能,並發表論文描述其入侵iPhone的理論方法,即使裝置關機也無影響,透過分析藍牙靭體,展示惡意程式能完全獨立於iOS的情況下運行。
Apple的低電量模式
在2021年,Apple宣佈其尋找失機的Find My服務,即使在關機的情況下仍能運作,支援自iPhone 11以後的所有Apple智能電話。例如,當你遺失電話而經過一段時間後電量耗盡,裝置並不會完全關機,而是轉到低電量模式,在這情況下只有非常有限的模組保持運作,當中包括藍牙和Ultra Wideband(UWB)無線模組以及NFC,而所謂的安全元素——保安昌片儲存用戶的信用卡資料,作為非接觸式付費或車匙之用。
藍牙在低電量模式中會用作數據傳輸,而UWB則用來確定智能手機的位置,在低電量模式中,手機會發送關於自己的資料,而途經的iPhone將能夠接收,如果失機的機主登入其Apple帳號並登記裝置遺失,周圍的智能手機資料便會用來確定失機的位置。
關機後的Finy My
首先,在低電量模式中的Find My服務大部份工作都會由藍牙模組處理,它由一組iOS指令重新加載和配置,然後間歇性地傳送資料封包,令其他裝置能偵測這部不是真正關機的iPhone。不過這個模式的具有期限,在iOS 15.3中間隔15分鐘的情況下只有96次「廣播」,這意味著關機的的遺失iPhone只能在24小時內追蹤,如果電話是因為電量低而關機,時間將會更短——大約5小時,不過這個模式偶爾會有臭蟲,在關機模式中信標模式並沒有啟動。
攻擊已關機的電話
研究團隊的主要發現時藍牙模組的韌體並沒有加密,也不受Secure Boot技術保護,Secure Boot涉及啟動時的程式多重核實,所以只有裝置製造商許可的韌體才能夠執行。由於欠缺加密,團隊能分析韌體和尋找以後能用放攻擊的安全漏洞,但不受Secure Boot保護則讓攻擊者能完全取代製造商的編碼,然後讓藍牙模組去執行,至於UWB則受到Secure Boot保護,即使韌體也沒有加密。
不過以上並不足作為現實的攻擊,攻擊者需要分析韌體然後尋找突破點,根據論文作者描術的攻擊理論模型,並沒有實際上表明iPhone可通過藍牙、NFC或UWB而被入侵,從他們的發現中可以清楚看到,如果這些模組經常處於開啟狀態,那麼上文提到的漏洞也會經常有效。
半關機的裝置
論文的結論是藍牙韌體沒有足夠的保護,理論上能在iOS修改或重新編程低電量模式以更改其功能,而主要問題是無線模組(包括NFC)能直接與受保護的Secure Element相通,引出論文最亮眼的結論:理論上能夠透過iPhone盜取虛擬車匙,即使裝置已經關閉,很明顯,如果iPhone是車匙,遺失裝置也代表遺失汽車,不過在這個案中電話可能仍在你的口袋但已經失去車匙,試想像攻擊者在商場內走近你,把他們的手機靠近你的袋,然後盜取你的虛擬鑰匙。
理論上也能修改藍牙模組發送的數據,例如透過智能電話監視受害者,同樣也是無視裝置是否已經關機,不過以上一切仍有待進一步證實。
資料來源:Kaspersky Blog
