首頁 > 科技

碰上這種 Wi-Fi,iPhone 秒崩!

2021-07-07 03:11:40

整理 | 蘇宓

路由器都拔了又拔,手機重啟 N 次......最終發現,手機以及部分裝置還是連不上網。

這到底是怎麼回事?

幾周前,來自國外 secret.club 的逆向工程師、創始人 @Carl Schou 在 Twitter 揭露一個 iOS 系統中的嚴重的漏洞。該安全研究人員指出,移動裝置連不上 Wi-Fi 並非是路由器或者手機的問題,這時候需要檢查一下你的網路名稱,如果你設定的 Wi-Fi 名稱中帶有百分比(%)字元時,如「%p%s%s%s%s%n」,那麼它可能是禁用 iPhone 以及 iOS 裝置上 Wi-Fi 的元凶。

近日,Carl Schou 再次發文表示,當使用 SSID「%secretclub%power」可以禁用 iOS 裝置的 Wi-Fi 功能,即使重置網路設定也無法恢復 Wi-Fi 的使用。

究竟是什麼原因導致?

針對這一問題,不少研究人員認為,這個 Bug 因為屬於輸入解析的問題,其中百分比符號可能被 iOS 誤解為字元串格式化的操作符,即 % 符號後面的字元可能被視為變數或命令而不是純文字。

對此,有開發者@CodeColorist 對整個過程進行了快速解析(https://blog.chichou.me/2021/06/20/quick-analysis-wifid/)。在測試過程中,他也設定了一個與 Carl Schou 相同的 SSID 熱點並讓裝置加入該網路,結果發現 wifid 很快就崩了。崩潰報告如下(wifid-2021-06-20-xxxxxx.ips):

Thread 2 name:  Dispatch queue: com.apple.wifid.managerQueue
Thread 2 Crashed:
0   libsystem_platform.dylib          0x00000001ebcb9724 _platform_strlen + 4
1   CoreFoundation                    0x00000001a381d84c __CFStringAppendFormatCore + 8812
2   CoreFoundation                    0x00000001a381efa8 _CFStringCreateWithFormatAndArgumentsReturningMetadata + 160
3   WiFiPolicy                        0x00000001d0895f8c -[WFLogger WFLog:message:] + 192
4   ???                               0x000000010692c00c 0 + 4405248012
5   wifid                             0x0000000100f58a74 0x100e40000 + 1149556
6   wifid                             0x0000000100f58c74 0x100e40000 + 1150068

基於以上結果顯示,證實了網路連線失敗以及 iPhone 上 Wi-Fi 無法正常使用屬於格式字元串 Bug!

通過反編譯 dyld_shared_cache 中的 -[WFLogger WFLog:message:] 函數。有兩個對 CFStringCreateWithFormatAndArguments 的引用:

v7 = j__CFStringCreateWithCString_107(0LL, a4, 0x8000100u); // the format string
    if ( v7 || (v7 = j__CFStringCreateWithCString_107(0LL, a4, 0)) != 0LL )
    {
      if ( self->_destination == 2 )
      {
        v8 = j__CFStringCreateWithFormatAndArguments_26(0LL, 0LL, v7, v21);
        v18[3] = (__int64)v8;
      }

另一個:

      if ( self->_destination != 2
        && (!self->_wflRunningOnWatchClassDevice || self->_wflEnableDualLoggingOnWatchClassDevice) )
      {
        *(_QWORD *)&v16.tm_sec = 0LL;
        *(_QWORD *)&v16.tm_hour = &v16;
        *(_QWORD *)&v16.tm_mon = 0x2020000000LL;
        *(_QWORD *)&v16.tm_wday = 0LL;
        v10 = j__CFStringCreateWithFormatAndArguments_26(0LL, 0LL, v7, v21); // <-- here

@CodeColorist 表示,利用 frida,並將它加到函數中,如:frida-trace -U wifid -m '-[WFLogger WFLog:message:]' ,稍微修改自動生成的指令碼:

onEnter(log, args, state) {
    const msg = '' + args[3].readUtf8String();
    log(`-[WFLogger WFLog:${args[2]} message:${msg}]`);
    if (msg.indexOf('%p%s%s%s%s%n') > -1) {
      for (let i = 3; i < 10; i++) {
        log(args[i], JSON.stringify(Process.findRangeByAddress(args[i])));
      }

      log('called from:n' +
        Thread.backtrace(this.context, Backtracer.ACCURATE)
        .map(DebugSymbol.fromAddress).join('n') + 'n');
    }
  },

這是崩潰前的日誌。

17863 ms -[WFLogger WFLog:0x3 message:Dequeuing command type: 「%@」 pending commands: %ld]

17863 ms -[WFLogger WFLog:0x3 message:{ASSOC+} Attempting Apple80211AssociateAsync to %p%s%s%s%s%n]

根據回溯,以下是根本原因:

v27 = sub_1000A25D4(v21);
v28 = objc_msgSend(
        &OBJC_CLASS___NSString,
        "stringWithFormat:",
        CFSTR("Attempting Apple80211AssociateAsync to %@"),
        v27);
v29 = objc_msgSend(&OBJC_CLASS___NSString, "stringWithFormat:", CFSTR("{ %@+} %@"), CFSTR("ASSOC"), v28);
v30 = objc_autoreleasePoolPush();
v31 = (void *)qword_100251888;
if ( qword_100251888 )
{
    v32 = objc_msgSend(v29, "UTF8String");
    objc_msgSend(v31, "WFLog:message:", 3LL, v32);
}
objc_autoreleasePoolPop(v30);

蘋果:暫未回覆

與此同時,外媒 9to5 Mac 也曾給出一個可能性的解釋:

"%[字元]"語法通在程式語言中較為常見,它的作用是對字元串進行格式化。在 C 中,"%n"標識符表示將寫入格式字元串中的字元數儲存到傳遞到字元串格式函數的變數。Wi-Fi 子系統可能會將未經處理的 Wi-Fi 網路名稱 (SSID) 傳遞給執行字元串格式的某個內部庫,這反過來又會導致緩衝器溢位。這將導致記憶體損壞,iOS 監視器將扼殺該過程,從而有效地禁用使用者的 Wi-Fi。

經過測試,這種情況僅在 iOS 裝置中出現,其中 iOS 14.4.2 到 14.6 都有這樣的問題,而 Android 裝置則可以毫無問題地直接連線。研究人員還就此事聯絡了蘋果的裝置安全團隊,但尚未收到任何回覆。

通過不斷的嘗試,Carl Schou 最終給出了一個解決方案,即手動編輯 iPhone 備份並在已知的網路中刪除惡意的 Wi-Fi 名,才可以恢復 iPhone 等 iOS 裝置網路的使用。

其實近幾年來,蘋果因為程式處理字元串帶來的 Bug 層出不窮,譬如,上一次,只因使用者姓 True,她的 iCloud 賬戶被蘋果封禁了半年之久。這一次關於 % 字元的問題不知何時才能根除,目前對於使用者可以做的就是不要去連線不熟悉以及名稱上帶有這種 % 等特殊字元的 Wi-Fi,避免一些可怕事情的發生。

參考:https://appleinsider.com/articles/21/07/04/new-malformed-wi-fi-name-bug-can-require-iphone-factory-reset-to-fix

位元組跳動闢謠「出售AI技術」和「成立打車項目」;GitHub 因程式碼版權問題遭抵制;貝佐斯正式卸任亞馬遜 CEO|極客頭條
Windows 11 上手機!小米 8、一加 6T、微軟 Lumia 950 XL 都可以運行
SwiftUI 很難趕上 UIKit?


相關文章

  • 碰上這種 Wi-Fi,iPhone 秒崩! 碰上這種 Wi-Fi,iPhone 秒崩!

    整理 | 蘇宓路由器都拔了又拔,手機重啟 N 次......最終發現,手機以及部分裝置還是連不上網。這到底是怎麼回事?幾周前,來自國外 secret.club 的逆向工程師、創始人 @Carl Schou

    2021-07-07 03:11:40

  • 2021年人工智慧的四種商業應用 2021年人工智慧的四種商業應用

    我們經常看到人工智慧被描繪成無所不能的機器,但它也是一種邊走邊學習的技術。AI必須掌握的關鍵技術是智慧定位:跨越空間和時間的資產、事件和人發生在哪裡,它們如何相互聯絡?想

    2021-07-07 03:11:34

  • 好評率高達97%,曾被稱為「智商稅」的iPhone XR ,如今徹底反轉 好評率高達97%,曾被稱為「智商稅」的iPhone XR ,如今徹底反轉

    發現一個很有趣的現象:在某大型電商平臺,iPhone 12的好評率是95%,iPhone 11是95%,而iPhone XR的好評率高達97%,可以說是近3年來口碑最好的一款iPhone。要知道,即使是iPhone 8 Plus

    2021-07-07 03:11:24

  • 聯想個人云T1評測:備份儲存檔案共享一應俱全,手機電腦均可操作 聯想個人云T1評測:備份儲存檔案共享一應俱全,手機電腦均可操作

    小編作為一個視訊剪輯愛好者,經常都要面對好幾百G的視訊拍攝素材,藉助移動固態這都不是最難的,最難的是經常團隊小夥伴在剪輯過程中發現素材確缺失,這個時候異地的檔案傳輸著實

    2021-07-07 03:10:54

  • 紅米高性價比新機爆料,會是紅米K40U或者紅米20X嗎? 紅米高性價比新機爆料,會是紅米K40U或者紅米20X嗎?

    數碼博主數碼閒聊站透露,紅米會有一款高性價比機器,新機採用MT689X處理器,相關處理器應該是天璣1100(MT6891)或者天璣1200(MT6893),搭載120Hz高刷屏,後置6400萬畫素主攝,電池容量在500

    2021-07-07 03:10:40

  • 5G應用於工業網際網路、自動駕駛存在重大缺陷 5G應用於工業網際網路、自動駕駛存在重大缺陷

    一直以來,業內都以5G的超低時延作為它適合網際網路、自動駕駛的理由,然而它們故意誤導了消費者,5G的超低時延僅僅是指基站到手機的時延,實際上時延還要包括基站至伺服器,一旦加上

    2021-07-07 03:10:31

IT145.com E-mail:sddin#qq.com