赏金 | 苹果 Airdrop:隔空链接接管
2022-3-21 12:30:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

开卷有益 · 不求甚解


前言

在这篇文章中,我将介绍如何使用简单的符号链接来提取整个/private/var/mobile/Containers/文件夹。除其他外,此文件夹包含 iOS 应用程序数据,通常采用未加密数据库的形式。仅供参考,对于许多端到端加密消息传递应用程序(如 WhatsApp、Telegram 和 Facebook Messenger)来说都是如此。

此外,它还包含*./Shared/AppGroup/[UUID]/File Provider Storage文件夹,这是文件应用程序存储本地文件的地方,也称为在我的 iPhone 上。最后是Mobile Documents*文件夹,它是 iCloud Drive 的设备本地副本、应用程序备份等。

对这个 bug 的研究是苦乐参半的,在我撰写报告时,iOS 15 已发布,将 bug 的影响限制在*File Provider StorageMobile Documents*文件夹中。此问题已在iOS 15.4 的安全内容中得到解决

Airdrop

Airdrop  最初是在 Mac OS X Lion 和 iOS 7 中引入的。AirDrop 可用于与附近的其他 Apple 设备共享和接收照片、文档、链接等。

错误

iOS 上的文件应用程序没有充分考虑给定文件何时是解析到预期控制范围之外的目标的符号链接。这允许攻击者使应用程序对未经授权的文件进行操作。

一方面,像/private/var/mobile/Containers/这样的整个敏感文件夹可以通过简单地共享符号链接来使用 Airdrop 提取。

一种攻击场景是从未锁定的设备中进行物理提取。假设你让你的目标用他的电话给你妈妈打电话。一旦你手头有解锁的手机,你下载一个符号链接,指向你想要窃取的信息,并使用 Airdrop 与你的设备共享。

如果您想在运行 iOS 14.8.1 及更低版本的 iOS 设备上重现我的发现,请执行以下操作:

  1. 创建一个到/private/var/mobile/Containers/的符号链接(其他目录也可以工作,这个文件夹是我能找到的影响最大的目录)
mkdir /tmp/foo
ln -s /private/var/mobile/Containers/ /tmp/foo/share_containers
zip --symlinks -r foo.zip /tmp/foo
  1. 获取foo.zip到您的 iOS 设备 - 我使用 Airdrop 完成了
  2. 通过点击foo.zip文件提取foo.zip,然后导航到foo文件夹。
  3. 打开share_containers文件并单击右上角的共享图标。
  4. 使用 Airdrop 共享文件。

共享可能需要一些时间,具体取决于您手机上的数据量。为获得最佳效果,请在发送文件夹时让两台设备保持唤醒状态。

正如我在开始时所说,我没有足够快地报告此错误,它已在 iOS 15 上进行了修补。我认为它的 CVE 是CVE-2021-30855。但是,我发现在定位*文件提供程序存储移动文档*文件夹时,相对符号链接仍然有效。我还发现我可以使用 iCloud Drive 存储和共享符号链接,这使得攻击更加可靠。

攻击设置

首先,我们需要创建符号链接。在此示例中,我们将定位 iCloud Drive,因此返回 2 个目录应该将我们带到 iCloud 根目录 AKA *"Mobile Documents"*。

ln -s ../../ contarct.pdf

在您的 iCloud Drive 中,创建一个新文件夹并将*contarct.pdf*复制到其中。右键单击文件夹,然后选择共享 > 共享文件夹

在共享文件夹对话框中,将谁可以访问设置为任何有链接的人,然后单击共享按钮。

再次右键单击该文件夹,然后选择共享>复制链接

您现在应该有一个指向带有我们刚刚创建的符号链接的文件夹的可共享链接。

攻击

我们现在要做的就是与目标分享链接,并要求他将contarct.pdf文件发送给我们。如果他这样做了,我们将可以访问他的 iCloud Drive 文件。

当用户发送contarct.pdf时,他实际上是在共享*../../,即Mobile Documents*文件夹。由于用户试图共享一个文件夹,它会在发送之前被压缩,在这个例子中是通过 WhatsApp。

攻击者现在可以下载并解压文件以获取用户 iCloud Drive 和应用程序备份的完整副本。

实际攻击

由于我使用的是测试手机,因此我的 iCloud Drive 非常空。在我自己的帐户上进行测试时,我不得不等待几分钟让我的手机生成 zip,然后再等几分钟才能发送它。

更实际的攻击是针对*File Provider StorageMobile Documents*文件夹中的特定文件夹。例如,Chrome 下载文件夹之类的东西。

在寻找错误时,符号链接非常强大。在我之前的帖子中,我使用了一个绕过 macOS 网关守卫。请不要忘记将 iOS 和 iPadOS 更新到 15.4,将 macOS Monterey 更新到 12.3。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU0MDcyMTMxOQ==&mid=2247486178&idx=1&sn=48919fe1dff7f280e76e203a88609b6e&chksm=fb35a32acc422a3ceae54f94cbcd5d2d724798ad71c500ed8df15f336839669a91ae915adfdd#rd
如有侵权请联系:admin#unsafe.sh