欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

怎样运用苹果的Call Relay协议达到DIY间谍软件的效果(下)

来源:本站整理 作者:佚名 时间:2017-09-19 TAG: 我要投稿

本系列文章分高低两集,上集将对苹果Call Realy办事的运转机制和协定内容结束论述,并让人人对该协定有一个大抵的懂得,而下集将会奉告人人若何应用该协定中的网安漏洞破绽bug来对目标用户结束监控,并自行着手制造特工对象。
DoS复电通话

固然这类入侵攻击方法的影响并不算异常大,然则它仍旧能够或许体现出隐约测试的实用性。在这类入侵攻击场景下,我能够捏造一个数据包,并结束随意率性目标用户的随意率性复电通话。也便是说,你只必要发送一个数据包,目标用户的复电通话就会立即被挂断。还记得咱们在本系列文章的上会合所先容的Call Realy协定的分歧处置阶段吗?我忽然想到,假如我向目标装备发送分歧阶段的数据包,会产生甚么?比如说,在“声响传输阶段”发送一个“通话协商阶段”的数据包。实际上,在这类情况下协定并不会处置不符合前提的数据包。当iPhone开端处置一通新的复电时,假如Macbook发送了其余范例的数据包,则通话将会结束。
现在的成绩便是若何捏造一个数据包,咱们必要这个数据包能够或许在事前不晓得通话ID之类信息的情况下适用于任何通话复电、用户和装备。正如上图所示,我抉择了通话协商阶段的第一个数据包,它包括多个与以后通话相干的数据域。为了包管iPhone不会疏忽咱们的数据包,我必要对其中的部门字节数据修改成空(“0”)。测验考试屡次以后,咱们得到了上面这个奇异的DoS数据包:
20040004000000000000000000b002000000000000000000000000000000000000000000000000000000000000
咱们必要留意数据包的长度,数据包header和b002数据域看起来应该是数据包的范例辨认符。假如你将这个数据包发送给iPhone或MacBook,那末通话将会立即结束。你能够用它来对目标装备结束泛洪入侵攻击,并应用该协定来避免用户接听德律风。
经由进程话筒监听用户
实在这个才是我的重要目标,即经由进程手机话筒来监听用户。我结束了大批的测验考试,成果以下:
1.  我无奈窃听通话
2.  我无奈注入语音数据
3.  我无奈重放通话数据
4.  我无奈重定向通话
5.  应用加密
以是说,假如我没方法拜访到语音Payload的话该怎么办呢?此时,我忽然想到了Adi Shamir的一句名言:“在未来,加密算法最大的一个成绩并非会被入侵攻击者所破解,而是被绕过。”
是以我意想到,大概我必要找到某种侧信道入侵攻击方法来拜访目标用户的语音信息。此时,我开端思虑全部进程中德律风挂断是若何结束的。我觉得,假如我在MacBook上挂断德律风,那末体系则会向iPhone发送一条信息或某种特别的数据包来关照装备这次通话已结束。我网络到的网络数据(包括通话结束)以下所示:

我能看到的只是语音Payload数据包结束发送了,这就异常奇异了,由于MacBook总得要关照iPhone通话一结束吧?是以我再对网络追踪数据结束了阐发,这次阐发数据包括APNS流量:

公然没错,挂断通话时体系向APNS发送了一些数据包。实际上,当你在MacBook上挂断德律风以后,体系并非应用P2P链接来向iPhone发送信息的,当咱们点击“挂德律风”以后,MacBook会向苹果发送一条推送关照。接下来,苹果会向iPhone发送另一条推送关照,关照内容都是同样的。此时,iPhone便会封闭响应端口并结束通话。当通话挂断以后,MacBook将无奈在与iPhone通讯了。

这类计划存在很大的成绩,即苹果经由进程这类异常不网安的通讯信道(APNS)来完成了Call Relay协定,而且苹果本身也表示:“推送关照并不能包管被胜利投递,请不要在敏感操纵中应用推送关照。”
然则苹果本身都没有遵照本身的理论倡议,而且OWASP Top 10(挪动端)中也描写了这类网安成绩。
那末接下来的成绩便是,咱们若何去应用这类计划缺点?假如我能够或许阻拦“挂断”新闻被投递,会产生甚么呢?

经由进程应用ARP诱骗+中间人入侵攻击,我能够或许屏障掉目标用户所发送的全体APNS流量。此时,苹果既无奈得悉用户能否挂断了德律风,也无奈关照iPhone。从用户接口层来看,目标用户不会发明任何可疑的迹象。但成绩便是,卖力处置通话的保卫进程会在后盾坚持运转,而通话永久都不会被挂断。对付用户来讲,他们会觉得通话曾经结束了,但实际上通话仍在结束中,而入侵攻击者则在另一边连续监听着。
演示视频以下:
视频地点:https://youtu.be/zx0wDshqb7o
在多方通话中假装用户

当我发明苹果应用推送关照来发送紧张新闻时,我又留意到了该协定还支撑多方通话。是以,假如当你正在通话而且此时又有人给你打德律风,那你就能够随时依据本身的必要来切换通话了。
实际上,“切换通话”的信息也是经由进程推送关照来发送的。这也就意味着,入侵攻击者将能够或许阻拦信息被投递,而目标用户将会看到UI界面产生转变,并觉得本身曾经胜利切换了通话。假如咱们能够或许联合这两个成绩(切换通话+挂断德律风)来应用该漏洞破绽bug的话,那末这类功效就异常的壮大了。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载