近日，ZecOps安全研究人員發(fā)現(xiàn)了iOS WiFi命名漏洞的零交互攻擊利用方式，可以用來遠程劫持iPhone設備。

　　Wi-Fi-Demon

　　Wifid 是處理與WiFi連接相關的協(xié)議的系統(tǒng)daemon。Wifid是以root 權限運行的。大多數(shù)處理函數(shù)都在CoreWiFi 框架中定義，而且這些服務無法在沙箱中訪問。

　　6月，研究人員Carl Schou發(fā)現(xiàn)wifid在處理SSID 時存在格式字符串問題。攻擊者利用該wifid漏洞可以引發(fā)DoS攻擊，禁用iPhone的WiFi功能和熱點功能。引發(fā)DoS 攻擊的原因是wifid 會將已知的WiFi SSID寫入硬盤中的以下文件：

　　/var/preferences/com.apple.wifi.known-networks.plist

　　/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup

　　/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist

　　Wifid每次啟動后，就會從文件中讀取SSID并引發(fā)奔潰。及時重啟也無法解決該問題。

　　WiFiDemon 技術分析：零點擊遠程漏洞利用

　　研究人員進一步分析發(fā)現(xiàn)：

　　攻擊者無法強迫用戶連接。該漏洞可以以零點擊的非交互形式啟動。受害者只需要將WiFi開啟就會觸發(fā)有漏洞的代碼。

　　研究人員在測試格式字符串bug時，注意到WiFid在無法連接到WiFi時會生成日志。這些日志中包含SSID，表明其中可能受到相同的格式字符串bug影響。該日志與智能設備的一個常見行為有關：自動掃描和加入已知的網絡。

　　當用戶使用手機時，iPhone每3秒會掃描WiFi網絡。此外，如果用戶的手機屏幕關閉了，仍然會掃描WiFi網絡，但是掃描頻率會變低一點，掃描的時間從10秒到1分鐘左右。

　　如果用戶連接到已有的WiFi 網絡，攻擊者可以啟動其他攻擊來斷開設備的WiFi連接，然后啟動0點擊攻擊。

　　零點擊攻擊：如果惡意AP有密碼保護，且用戶從未加入WiFi網絡，硬盤中不會保存任何內容。在關閉惡意AP后，用戶的WiFi功能就會正常。用戶不會注意到是否受到攻擊。