如果你最近還沒更新你的iPhone或安卓設(shè)備，最好現(xiàn)在馬上就更新。除非安裝了最新的補(bǔ)丁，否則極少被檢查的WiFi芯片中所含的一個(gè)漏洞，可使黑客隱身潛入10億臺(tái)設(shè)備中的任何一臺(tái)。沒錯(cuò)，不是百萬(wàn)臺(tái)，不是千萬(wàn)臺(tái)，是10億臺(tái)。

侵害范圍這么廣的漏洞極少出現(xiàn)，真是謝天謝地。蘋果和谷歌投入巨資保護(hù)他們的移動(dòng)操作系統(tǒng)，給黑客設(shè)下層層障礙，還為其軟件漏洞開出舉報(bào)獎(jiǎng)勵(lì)。但現(xiàn)代計(jì)算機(jī)或智能手機(jī)就是某種形式上的硅基科學(xué)怪人，渾身插滿來自第三方公司的組件，其中代碼谷歌和蘋果都控制不了。而當(dāng)安全研究員尼泰·阿滕斯坦深入探索驅(qū)動(dòng)每臺(tái)iPhone和大部分現(xiàn)代安卓設(shè)備的博通芯片模塊時(shí)，他就發(fā)現(xiàn)了一個(gè)可完全破壞掉那昂貴安全投入的漏洞。

該漏洞被阿滕斯坦命名為Broadpwn，上幾周谷歌和蘋果就在加緊著手修復(fù)該漏洞。若未安裝該修復(fù)補(bǔ)丁，置身目標(biāo)WiFi范圍內(nèi)的黑客，便不僅可以黑入受害者手機(jī)，還能將受害手機(jī)轉(zhuǎn)化為惡意接入點(diǎn)，感染附近的手機(jī)，一臺(tái)接一臺(tái)地?cái)U(kuò)散，正如阿滕斯坦所描述的——首款WiFi蠕蟲。

雖然該漏洞已被修復(fù)——說真的，趕緊更新，但其仍然能為我們的設(shè)備基本安全提供更深層次的思考。不遠(yuǎn)的將來，智能手機(jī)黑客攻擊可能會(huì)更少著眼于操作系統(tǒng)，而更多地放在外圍組件的潛在漏洞上。

阿滕斯坦在剛剛落幕的美國(guó)黑帽安全大會(huì)上展示了他的發(fā)現(xiàn)，并在隨后的《連線》雜志采訪中說：“主流系統(tǒng)，比如搭載了iOS或安卓的應(yīng)用處理器，在密集的安全研究下已經(jīng)被強(qiáng)化了不少，因而安全研究員們開始探索其他的方向。他們開始尋找漏洞利用還沒那么難的地方。”

隨著黑客找尋越來越罕見的無用戶互動(dòng)攻擊，比如在瀏覽器里打開惡意網(wǎng)頁(yè)，或者點(diǎn)擊短信中的惡意鏈接，他們將專注在諸如博通芯片這樣的第三方硬件組件上。

Broadpwn

阿滕斯坦是安全公司 Exodus Intelligence 的一名研究員，他幾年前就懷疑博通的WiFi芯片可能提供了通往智能手機(jī)內(nèi)部的新康莊大道。畢竟，現(xiàn)代手機(jī)的“內(nèi)核”，如今被各種各樣的防護(hù)措施保護(hù)得嚴(yán)嚴(yán)實(shí)實(shí)的，比如防止黑客利用內(nèi)存的地址空間布局隨機(jī)化(ASLR)，還有數(shù)據(jù)執(zhí)行保護(hù)——防止黑客在數(shù)據(jù)中植入惡意指令誘騙計(jì)算機(jī)執(zhí)行之。

但博通的WiFi控制器沒有這些防護(hù)措施，且在各大生產(chǎn)商和操作系統(tǒng)中都能見到，從最新的三星Galaxy到每一臺(tái)iPhone。在黑帽大會(huì)的演講中，阿滕斯坦說道：“很明顯，這是一個(gè)有趣得多的攻擊界面。你不用重復(fù)工作。只要發(fā)現(xiàn)一個(gè)漏洞，就能在多個(gè)地方重用。”

于是，大約1年前，阿滕斯坦開始了艱難的博通芯片固件逆向工程。GitHub上意外泄露的博通源代碼幫了他大忙。在代碼挖掘過程中，他很快發(fā)現(xiàn)了問題點(diǎn)。“仔細(xì)查看這些系統(tǒng)，你會(huì)像重回過去美好時(shí)光一樣發(fā)現(xiàn)漏洞。”

最終，他發(fā)現(xiàn)了一個(gè)特別重要的漏洞，隱藏在博通的“關(guān)聯(lián)”過程中，也就是允許手機(jī)在連接WiFi之前搜索熟悉的WiFi網(wǎng)絡(luò)的過程。該握手過程開端的一部分，并未恰當(dāng)限定WiFi接入點(diǎn)發(fā)回給芯片的一段數(shù)據(jù)——所謂“堆溢出”漏洞。通過精心編制的響應(yīng)，該接入點(diǎn)可發(fā)送能破壞該模塊內(nèi)存的數(shù)據(jù)，溢出到內(nèi)存其他部分，作為指令執(zhí)行。

可以用特殊方法構(gòu)造畸形響應(yīng)數(shù)據(jù)，獲得在內(nèi)存任意位置寫入的權(quán)力。如果黑客想要遠(yuǎn)程攻擊現(xiàn)代操作系統(tǒng)里受保護(hù)的隨機(jī)化內(nèi)存，這種溢出是非常難以實(shí)現(xiàn)的，但對(duì)智能手機(jī)上的博通WiFi模塊內(nèi)存使用，卻異常契合。“這是個(gè)相當(dāng)特殊的漏洞。”

由于該漏洞存在于博通代碼中負(fù)責(zé)自動(dòng)關(guān)聯(lián)手機(jī)與接入點(diǎn)的部分，拿下WiFi芯片的整個(gè)過程，可在用戶毫無所覺的情形下發(fā)生。更糟的是，該攻擊還可將WiFi芯片本身轉(zhuǎn)化為接入點(diǎn)，向WiFi范圍內(nèi)任意脆弱手機(jī)廣播該攻擊，在智能手機(jī)世界里形成指數(shù)級(jí)擴(kuò)散。

阿滕斯坦自己倒是還沒走到從WiFi芯片擴(kuò)散到手機(jī)內(nèi)核的這一步，但他相信，對(duì)有動(dòng)力的黑客而言，這最后一步不無可能。

對(duì)一個(gè)有各種資源的真實(shí)攻擊者而言，這不是問題。

谷歌在7月初放出了安卓手機(jī)的更新，上周，蘋果也跟進(jìn)了iOS補(bǔ)丁，就在26號(hào)阿滕斯坦在博客帖子里揭示完整漏洞信息之前。

最弱一環(huán)

這不是博通漏洞第一次騷擾智能手機(jī)行業(yè)了。今年早些時(shí)候，蘋果和谷歌就不得不搶救另一個(gè)博通WiFi漏洞。該漏洞是谷歌“零日計(jì)劃”研究團(tuán)隊(duì)成員加爾·貝尼亞米尼發(fā)現(xiàn)的。與阿滕斯坦的攻擊類似，該漏洞也會(huì)導(dǎo)致對(duì)WiFi范圍內(nèi)任意安卓或iPhone的權(quán)限獲取。

阿滕斯坦和貝尼亞米尼攻擊的潛在嚴(yán)重性(這些都可能潛伏在手機(jī)里多年)，指向了相對(duì)未經(jīng)審查的組件中所存漏洞的危險(xiǎn)性，比如博通賣出的那些組件。

自2010年起，網(wǎng)絡(luò)安全世界就已經(jīng)越來越注意到第三方芯片的漏洞了，比如處理智能手機(jī)通訊的基帶處理器。但就在研究人員更深入地審查基帶芯片時(shí)，其他芯片，比如處理WiFi、藍(lán)牙、近場(chǎng)通訊的那些，依然審查得不是那么嚴(yán)格。

高通公司安全工程經(jīng)理阿列克斯·甘特曼辯稱，高通廣為使用的基帶芯片，不受博通芯片那種缺乏防護(hù)的困擾。雖然沒有保護(hù)操作系統(tǒng)內(nèi)核的那種內(nèi)存隨機(jī)化，高通的芯片也是實(shí)現(xiàn)了數(shù)據(jù)執(zhí)行保護(hù)的。但他也承認(rèn)，Broadpwn那樣的漏洞依然表明，設(shè)備制造商不僅僅需要考慮第三方組件的安全，還要內(nèi)置能夠限制被黑所造成的損害的防護(hù)措施。“你必須得將一臺(tái)計(jì)算機(jī)當(dāng)做一個(gè)被恰當(dāng)分隔的網(wǎng)絡(luò)，這樣即便獲取了某個(gè)組件的控制權(quán)，也控制不了整個(gè)系統(tǒng)。”

除非這些手機(jī)外圍組件的安全，升級(jí)到其操作系統(tǒng)內(nèi)核的安全水平，否則黑客會(huì)一直挖掘它們。阿滕斯坦以他自己和谷歌貝尼亞米尼的漏洞發(fā)現(xiàn)為例，指出此類第三方組件黑客攻擊會(huì)洶涌而來。

我們倆都在無人探究數(shù)年后選擇了這個(gè)研究方向，意味著威脅態(tài)勢(shì)正在改變。攻擊者開始轉(zhuǎn)向硬件。我認(rèn)為此類攻擊將會(huì)增加。