恐怖三角测量：有史以来最复杂的iPhone间谍软件活动内部。这一调查结果是卡巴斯基发现其员工的iPhone遭到间谍软件黑客攻击几个月后三角测量行动的一部分。

卡巴斯基全球研究与分析团队(GReAT)发现了一个不起眼的硬件功能，可能被黑客在针对iPhone用户的间谍软件攻击中利用。

这些攻击是名为“三角操作”的APT活动的一部分，该活动自2019年以来一直活跃，针对iOS设备，通过iMessage使用零点击漏洞，使攻击者能够获得控制权并访问用户数据。它是卡巴斯基今年夏天发现的。

这项尚未公开记录的功能是Apple片上系统(SoC)的一部分，可能是Apple工程师出于调试或测试目的而包含在iPhone中的，或者错误地添加到了最终的消费者版本中。然而，它允许攻击者在针对卡巴斯基高级员工iPhone的攻击中绕过保护并劫持设备。

对三角测量行动的研究是由网络安全供应商卡巴斯基进行的。值得注意的是，此次行动是在卡巴斯基研究人员发现其员工的iPhone遭到间谍软件黑客攻击后开始的。

2023年12月27日，该公司在汉堡举行的第37届混沌通信大会上发表了题为“三角测量操作：攻击研究人员的iPhone时会得到什么”的演讲，分享了这些发现，并发表在鲍里斯·拉林(Boris Larin)撰写的报告中。

在演示过程中，研究人员解释说，多个iOS零日漏洞（包括Apple ADJUST TrueType字体指令CVE-2023-41990和CVE-2023-38606中的RCE问题，绕过基于硬件的安全保护）被用来执行代码并安装一个名为TriangleDB的隐秘间谍软件植入程序。

这些漏洞被用来针对运行iOS版本高达iOS 16.6的iPhone 。其中最关键的是CVE-2023-38606，它允许JavaScript漏洞绕过页面保护层。

攻击者使用恶意iMessage附件来利用远程代码执行零日漏洞，并在无需用户交互的情况下部署TriangleDB。感染链涉及多次检查和日志擦除操作，以防止恶意软件识别。研究人员每天都会发现新的攻击/漏洞，称其为他们见过的最复杂的攻击链。

“我们已经发现并报告了Adob​​e、Apple、Google和Microsoft产品中的30多个野外零日漏洞，但这是我们见过的最复杂的攻击链。” ----卡巴斯基

这个不起眼的功能允许覆盖基于硬件的安全性来保护内核（操作系统的核心部分）。然后，攻击者可以将数据写入特定的物理地址，同时“通过将数据、目标地址和数据哈希写入固件未使用的芯片的未知硬件寄存器来绕过基于硬件的内存保护。”

攻击者利用GPU协处理器的MMIO寄存器，绕过Apple的DeviceTree范围写入内存、绕过保护并实现RCE。

Apple的回应是发布了安全更新，以解决影响各种Apple产品的四个零日漏洞：CVE-2023-32434、CVE-2023-32435、CVE-2023-38606和CVE-2023-41990。

然而，仍有许多悬而未决的问题，例如此功能的目的、考虑到固件没有使用它，攻击者如何学会使用它以及它是由Apple还是由ARM CoreSight等第三方组件开发。