本周安全：iPhone Unpowered、Python Unsandboxed 和 Wizard Spider Unmasked

随着阴谋论的持续存在，最合理的说法之一是，手机可能在其基带处理器上运行恶意固件，即使在关机时也能监听和传输数据。 如今，这种行为被称为功能，至少如果您的手机是由 Apple 制造的，具有“查找我的”功能。 即使在手机关机的情况下，蓝牙芯片也能在低功耗状态下愉快地工作，从而使这些功能发挥作用。 问题是该芯片不适用于签名固件。 所需要的一切 对手机主操作系统的根级访问以下载恶意固件 蓝牙芯片的图片。

德国达姆施塔特工业大学的研究人员展示了这种方法， 写一篇关于他们工作的好论文 (PDF). 这项研究表明了一些有趣的可能性。 最简单的方法是劫持 Apple 的 Find My 系统来跟踪手机坏了的人。 最大的风险是，即使在电源循环期间，这也可用于持续监控设备上的恶意软件。 硬件往往可以很好地抵御来自外部网络的攻击，而几乎不会受到源自芯片本身的攻击。 不幸的是，由于未签名的固件是一种硬件限制，因此除了防止攻击者侵入操作系统的正常努力外，安全更新几乎无法缓解这种情况。

低功耗蓝牙

这是另一个与蓝牙相关的问题，这次令人担忧 低功耗蓝牙 (BLE) 用作身份验证令牌. 您可能已经以一种或另一种形式看到了这个想法，因为 Android 可以选择在连接到 BLE 耳塞时保持解锁状态。 它用于不同的车辆，一旦适当的手机在 BLE 范围内即可解锁。

使用 BLE 进行这种类型的身份验证一直是个坏主意，因为 BLE 容易受到飞行中的中继攻击。 一半的攻击在你的手机旁边，就像车里的 BLE 芯片一样，另一半在汽车旁边，欺骗你的手机。 连接两个spoofer，汽车会认为授权电话在那里。 为了使这种“安全”，供应商添加了加密功能以及信号时序分析以尝试检测欺骗。

这里真正的突破是使用在链路层嗅探和重放的专用硬件。 这避免了编码问题，因为信号在没有骚扰的情况下传递。 它还加快了流程，即使在数百英里外的在线响应时间也足够低。 这项技术的下一次迭代可能会简单地使用软件定义的无线电来播放较低级别的信号。 解决方案是要么要求用户在解锁车辆之前获得许可，要么将位置信息包含在加密的有效载荷中。

吹缓冲区 Python

这是 其中一个问题不是什么大问题，但它可以是 某些情况下的问题。 这一切都始于 2012 年，当时人们注意到 Python 语言 memoryview 当一个对象指向一个不再有效的内存位置时，它可能会导致程序崩溃。 一种 memoryview 它基本上是一个指向底层 C 缓冲区的指针，并且它没有获得与常规 Python 对象一样的自动引用。 解除分配对象 memoryview 表示，然后取消引用指向某些未定义 C 样式行为的“指针”。（这里我们不是指该死的代码，而是更多的 UD 杂项 – 取消引用指针不再是有效指针）。 翻译者。

这实际上是一个基本的阅读和写作。 窥探 Python 内存，找到 ELF 标头，然后找出它们在哪里 system 位于动作挂钩表中的动态库。 找到它，使用内存损坏错误移动到内存中的适当位置，然后砰，你的 Python shell 爆炸了！

我越想你们之间肯定已经越多，季，这是一种如此复杂的交流方式 os.system(). 是的，作为剥削者， 这并不令人印象深刻. [kn32]，我们的导游在这种与 Python 的偏差上指出，它可以用来逃离 Python 沙箱，但这是一个非常方便的用例。 即使我们认为这不是一个真正的漏洞利用，它也是一个很好的学习工具和一些有趣的黑客攻击。

蜘蛛巫师

当一群聪明且积极进取的研究人员（如 PRODRAFT 的人）将他们的网站设置为大型勒索软件团伙时会发生什么？ 嗯，首先，他们必须想出一个吸引人的名字。 他们决定将这个恶意团伙称为 Conti-slinging Wizard Spider – 他们从该团伙中获得了一些强烈的 D&D 氛围。

PDF 报告 结果细节，令人印象深刻。 调查确定了 WS 的首选工具，以及他们用来代理其行动的一些基础设施，例如 Wireguard 隧道网络。 最有趣的是发现了一个备份服务器，据信位于俄罗斯，其中还包含与 REvil 攻击兼容的备份。 关于这一发现究竟表明了什么的理论比比皆是。 该报告的另一份副本已移交给执法部门，其中可能包含更多个人身份信息。

这里讨论了一些值得注意的技术，包括一个机器学习引擎，它着眼于写作，并试图识别作者的原始语言。 有一些轶事，例如留下诸如“the”之类的冠词，以及使用错误的动词形式。 一些看起来很奇怪的英语短语是母语中常见表达的逐字逐句翻译。 总之，不出所料，PRODRAFT 确定 WS 发言人是以俄语为母语的人。 我们希望能够分享提取这组信息背后的其余故事。 它有望成为黑客的黑客故事，也许还有一些古老的贸易手艺。

检测 Parallels 黑客

在 Pwn2own 2021 期间， [Jack Dates] 来自 RET2 . 系统 我设法破解了 Parallels VM. 令我们高兴的是，他有 编写利用过程 教我们。 来宾添加代码中的一串错误允许字符串从来宾中逃脱。 使用的第一个错误是信息泄漏，其中 0x20 字节被写入大小为 0x90 的缓冲区，然后将整个缓冲区暴露给来宾。 这是可以同时读取的 0x70 字节的 VM 主机堆内存，足以在某些基地址上工作。

下一个错误是拖放处理代码中的缓冲区溢出。 传递给主机的结构包含一个应该以空值结尾的字符串，跳过空值允许缓冲区流入堆栈。 此溢出可用于中断主机上运行的来宾添加代码的异常处理。 第三个错误，称为“megasmash”，似乎不是很有用，因为它通过一个整数来释放巨大的缓冲区溢出。 使用它的问题是，当它溢出时，它会尝试写入 0xffffffff 程序存储器以上的字节。 该字符串使用它来修改回调指针以指示恶意代码。 但是，某些内存保证是只读的，这会导致异常。

关键是异常处理被篡改了，所以当异常被触发时，处理代码出错并立即停止，妨碍了正常的程序清理。 然后其他线程可以命中被篡改的函数指针，从而导致代码执行。 去年年底发现的所有错误都已修复，并且 [Jack] 他为漏洞利用链赚了令人印象深刻的 40,000 美元。 享受！