Исследователи из команды ZecOps рассказали, как расширить недавнюю «дыру» Wi-Fi в iPhone до полноценной уязвимости с выполнением произвольного кода. Apple исправила баг в работе Wi-Fi на iPhone, когда беспроводной модуль устройства отказывался работать после подключения к сети с символом "%" в начале названия или внутри обозначения SSID, в последней версии iOS 14.7.
ИБ-эксперты выяснили, что ошибка в работе беспроводного модуля iPhone переводит его не только в состояние отказа в обслуживании (DoS) Wi-Fi, а может использоваться злоумышленниками для удаленного выполнения кода на устройстве пользователя. Причем этому вектору атаки не нужно дальнейшее взаимодействие с пользователем устройства. Исследователи назвали этот типа атаки WiFiDemon.
Баг в работе Wi-Fi на iPhone возник из-за того, что для трансляции обозначения SSID в системе используется функция NSString stringWithFormat: Objective-C — языка программирования для iOS. Вот только для продолжения атаки нужно, чтобы устройство было подключено не к сети с наименованием "%n", так как в этом случае связь пропадет, а к SSID с символами "%@".
В этом случае баг позволяет находить определенные объекты в стеке памяти и задействовать указатель кучи уже после ее освобождения. Это дает возможность использовать уязвимость Use-After-Free и может привести к выполнению кода на устройстве.
Исследователи смогли создать тестовые сети Wi-Fi с SSID с наименованиями внутри с символами "%@" и запустить произвольный код на атакуемых iPhone после их подключения к этим сетям в том случае, если на них была включена функция автоматического присоединения к беспроводным сетям.
Эксперты также выяснили, что эту уязвимость и атаку WiFiDemon можно использовать локально, чтобы создать частичную «песочницу» и взломать устройство пользователя. Баг есть в iOS с 14 до версии 14.4 включительно. Apple частично его устранила в начале января этого года. Компания окончательно пропатчила проблему в обновлениях безопасности, входящих в состав iOS 14.7.
Исправление в iOS 14.7 выглядит следующим образом — там добавлена «%s» для правильного форматирования в формат строки наименования SSID.
4 июля 2021 года инженер и основатель secret.club Карл Шоу (Carl Schou) раскрыл, что при присоединении любого iPhone, включая новые модели, к Wi-Fi сети с символьным названием (SSID) в виде "%secretclub%power", происходит перманентное отключение беспроводного модуля мобильного устройства. Сеть Wi-Fi перестает работать, кнопка ее включения становится неактивной. Также перестает работать AirDrop на iPhone. Единственный способ восстановить работоспособность Wi-Fi на iPhone, причем и он не всегда работает, это сбросить устройство до заводских настроек с потерей текущих данных пользователя, если до активации бага не было сделано резервное копирование.
18 июня Шоу рассказал, что при присоединении любого iPhone, включая новые модели, к Wi-Fi сети названием "%p%s%s%s%s%n", происходит зависание работы беспроводного модуля мобильного устройства, Wi-Fi перестает работать, а попытка его активации заново приводит к моментальному отключению кнопки включения. Также проблема полностью ломает AirDrop на iPhone. Для восстановления работы модуля Wi-Fi на пострадавшем мобильном устройстве необходимо сбросить настройки сети.
