G.O.S.S.I.P 学术论文推荐 2021-04-21

今天凌晨苹果春季发布会上的AirTag和搭载M1芯片的iPad pro让购物欲“踏春而来“，一看存款“囊中羞涩”，还是来读一篇Apple相关的安全论文吧！今天给大家推荐的是TU Darmstadt的SEEMOO团队录用于USENIX Security 2021的一篇研究苹果无线服务安全的论文。

SEEMOO团队是我们论文推荐的常客了，他们专注于无线安全的研究，尤其在Apple的无线协议方面取得了相当丰硕的成果，例如对AWDL协议的逆向就有多篇相关论文发表。而且他们的研究成果确实对学术界和工业界有重要价值，例如Ian Beer的iOS AWDL zero-click exploit就用到了Milan对AWDL协议的还原结果。

回到今天推荐的这篇文章，这篇文章非常值得有志探索Apple无线安全的小伙伴阅读。文章可以分为三个部分：

1. 作者对自己在Apple无线生态的安全研究中的经验进行了总结，给出了一套hacker's guide；

2. 作者对苹果的三个具体的continuity service进行了逆向，还原出了服务背后的协议流程；

3. 作者对这三个服务进行了安全分析，发现了若干漏洞并进行了DoS、tracking和MitM这三类攻击。

首先来明确一下研究的对象。如表1所示，Apple目前有12种不同的无线服务，它们基本就基于AWDL、BLE、Wi-Fi这三种链路层协议。由于Apple的闭源性，这12个服务具体是采用怎样的工作流程，是不得而知的，但可以相信这些无线协议中存在设计或实现上的漏洞，而且目前安全研究对这些对象的覆盖非常少，是可以大做文章的。

作者第一部分给出的hacker's guide，给出了研究这类问题的方法论指导。整个研究涉及的组建和交互如图1所示。这类研究的基础就在于二进制代码分析，由于协议的特性，研究对象跨度较大，涉及诸多frameworks、daemons以及driver(IO80211Family)。作者给出的建议是借助系统日志来找到相关的进程，进而找到其依赖的frameworks和libraries。然后再进一步缩小范围，利用符号信息识别我们感兴趣的函数和代码片段。单纯硬着头皮去逆是很困难的，作者的方法是借助系统日志、网络接口（可以获取加密传输前的明文消息）和keychain来作为辅助。

第二部分对Handoff (HO)、 Universal Clipboard (UC)和Wi-Fi Password Sharing(PWS)这三个服务进行了协议逆向。HO和UC的协议是一致的，还原的结果如图4所示。看似云淡风轻，但人家毕竟是之前还原了AirDrop还用python复现了的，有着充分的技术积累。PWS的协议还原结果如图5所示。具体细节可以去阅读论文。

第三部分，作者对这两个协议进行了安全分析，针对其中的漏洞提出了四种攻击：

1. 针对HO和UC的协议级DoS攻击：利用BLE advertisement中的低熵身份验证标签和重播保护机制。

2. 设备跟踪攻击：利用了几个AWDL设备标识符（例如MAC地址和mDNS记录）的异步随机间隔。

3. MitM攻击：利用PWS中的单向身份验证来自动分发和填写Wi-Fi密码，从而使受害者连接到攻击者控制的Wi-Fi网络。

4. 针对PWS协议的DoS攻击：该攻击利用了解析错误，并导致iOS上的“设置”应用崩溃，能够阻止用户连接到新的Wi-Fi网络。

最后稍作总结，从作者这几篇相关论文的工作中，可以感受到方法论的逐渐成熟。目前他们已经对AirDrop、HO、UC、PWS这四种服务进行了逆向还原，技术路线非常成熟了，也都找到了一些漏洞并进行了攻击实现。其他安全研究者后续分析其他无线服务就能从他们的方法论中获益。同时，对于一些利用条件非常复杂的漏洞（比如用无线消息进行内存破坏），借助他们对协议的还原，也有机会进行触发，有助于对无线协议实现上的安全问题的研究。

论文链接：https://www.usenix.org/system/files/sec21fall-stute.pdf