WiFiDemon – iOS WiFi RCE 0-Day漏洞利用

近日，ZecOps安全研究人员发现了iOS WiFi命名漏洞的零交互攻击利用方式，可以用来远程劫持iPhone设备。

Wi-Fi-Demon

Wifid 是处理与WiFi连接相关的协议的系统daemon。Wifid是以root 权限运行的。大多数处理函数都在CoreWiFi 框架中定义，而且这些服务无法在沙箱中访问。

6月，研究人员Carl Schou发现wifid在处理SSID 时存在格式字符串问题。攻击者利用该wifid漏洞可以引发DoS攻击，禁用iPhone的WiFi功能和热点功能。引发DoS 攻击的原因是wifid 会将已知的WiFi SSID写入硬盘中的以下文件：

/var/preferences/com.apple.wifi.known-networks.plist

/var/preferences/SystemConfiguration/com.apple.wifi-networks.plist.backup

/var/preferences/SystemConfiguration/com.apple.wifi-private-mac-networks.plist

Wifid每次启动后，就会从文件中读取SSID并引发奔溃。及时重启也无法解决该问题。

WiFiDemon 技术分析：零点击远程漏洞利用

研究人员进一步分析发现：

攻击者无法强迫用户连接。该漏洞可以以零点击的非交互形式启动。受害者只需要将WiFi开启就会触发有漏洞的代码。

研究人员在测试格式字符串bug时，注意到WiFid在无法连接到WiFi时会生成日志。这些日志中包含SSID，表明其中可能受到相同的格式字符串bug影响。该日志与智能设备的一个常见行为有关：自动扫描和加入已知的网络。

当用户使用手机时，iPhone每3秒会扫描WiFi网络。此外，如果用户的手机屏幕关闭了，仍然会扫描WiFi网络，但是扫描频率会变低一点，扫描的时间从10秒到1分钟左右。

如果用户连接到已有的WiFi 网络，攻击者可以启动其他攻击来断开设备的WiFi连接，然后启动0点击攻击。

零点击攻击：如果恶意AP有密码保护，且用户从未加入WiFi网络，硬盘中不会保存任何内容。在关闭恶意AP后，用户的WiFi功能就会正常。用户不会注意到是否受到攻击。

更多关于漏洞利用的细节参见：https://blog.zecops.com/research/meet-wifidemon-ios-wifi-rce-0-day-vulnerability-and-a-zero-click-vulnerability-that-was-silently-patched/