iMessage是怎么成为“黑灰产的乐园”

垃圾/骚扰/色情/钓鱼短信已经成为苹果手机iMessage无法解决的难题。几乎每一位iPhone用户都曾收到过这类短信，被吐槽“每一个iPhone里都藏着一个澳门葡京赌场”。

1712113685_660cc8154c0cb0a8ce9b5.png!small?1712113686962

1712113691_660cc81b17144f5ec7d8e.png!small?1712113692757

对于这些垃圾短信，最好的办法就是别点开直接删除，上当/被骗的第一步就是从点开这些短信开始。

近期，上海警方在侦办电信诈骗案件过程中，发现有不少遭遇“冒充熟人、领导”类诈骗的被害人。诈骗分子通过iMessage功能群发短信，用户一旦回复，骗子便会继续通过iMessage功能进行对话，并利用“花式”理由进行诈骗。

根据警方公布的信息，很多苹果用户都收到过一条来自“领导”的短信，但其实是诈骗分子群发进行“钓鱼”。

1712113700_660cc824c5fa99d9f95af.png!small?1712113702760

亦或者是发iMessage短信，自称是某某人的老友，并借此与用户聊天，伺机以“帮忙办私事”，给所谓的领导转账打款，并以银行信息填写错误，未收到钱款为由要求其继续打款，以此进行诈骗。

1712113711_660cc82f3e5c7c7237040.png!small?1712113713019

更糟糕的是，目前苹果对于垃圾/色情短信泛滥拿不出一个好的解决办法。很多用户表示，在iPhone手机上短信过滤功能就是一个摆设，对于垃圾短信没有任何的屏蔽作用，于是iPhone上的iMessage功能，逐渐沦为了“黑灰产的乐园”。

iMessage功能的亮点也是槽点

虽然国内苹果手机上的iMessage功能使用率极低，不出意外的话，绝大多数苹果手机上的iMessage仅仅是用来接收短信验证码。

但iMessage功能在国外的热度非常高，但在国内却十分遭人嫌弃，使用频率低到令人发指。有不少用户甚至不清楚iMessage的功能，而简单地将之理解为短信。其实，iMessage是升级版的短信，或者说另外一种形式的微信。

苹果用户可以通过iMessage享受专属的网络通信服务，除了纯文本内容外，用户还可以发送图片、视频、链接等许多富媒体信息，并且这些服务都是免费的。数据显示，苹果公司在全球拥有15亿以上的用户，而iMessage全球用户的规模也迈过了10亿大关，充分表明该功能的受欢迎程度，也决定了 iMessage 是全球通讯软件中的佼佼者。

但问题来了，iMessage在设计上与微信等社交App存在明显的不同点，无需添加好友，只要有对方的手机号码或者Apple ID邮箱，你就可以直接向对方发送各种各样的内容（文本、图片、链接等）。

懂安全的人是不是已经发现了，该机制下的iMessage必定会存在一种安全问题——骚扰短信将会铺天盖地，各种以赌博、色情为噱头的钓鱼攻击将会无往不利，只需要搞到对方手机号，就可以轻松发起钓鱼攻击。至于怎么搞到手机号，在隐私信息满天飞的今天应该不是什么难事。

隐私策略反成为黑灰产的保护伞

iMessage的安全问题饱受用户吐槽，但这不意味着iMessage的隐私保护策略低级。事实上iMessage的安全保护相对来说十分高级，采用的是端对端加密算法，任何一条消息在离开发送者手机的那一刻，直到到达接受者手机的之前的所有过程，消息全程加密，安全性直接拉满，即便是苹果公司也只能看到被加密的文本信息。

1712113740_660cc84c21d58846fbeb8.png!small?1712113742686

2024年，苹果公司还为 iMessage 发布了新的加密协议——PQ3，号称是后量子时代的安全通讯协议。PQ3技术允许用户使用公钥改变端到端加密的算法，这样它们就可以在经典的非量子计算机上工作，但又能防止使用未来量子计算机的潜在黑灰产攻击。

1712113746_660cc852a5cfc7b236e1e.png!small?1712113749219

PQ3协议将在iOS 17.4、iPadOS 17.4、macOS 14.4和watchOS 10.4中提供。过渡到新协议将是逐步进行的：首先，所有支持PQ3的设备上的用户对话将自动切换到该协议；然后在2024年晚些时候，苹果计划完全替换先前使用的端到端加密协议。

那么问题来了，如此严格的隐私保护策略给了黑灰产们极其宽广的操作空间。由于端到端的加密机制，黑灰产们的敏感内容同样被保护了起来，从而直接导致短信屏蔽功能失效。

这还真是一个令人感到讽刺的现象。iMessage为保障用户隐私，实施了端对端加密，哪怕是苹果也无法知晓中间的信息。一个往日替用户遮风挡雨的信息盾牌，现在反而成为骚扰短信的护身符。

iMessage喜提“史上最复杂的攻击链”称号

iMessage还曾被黑灰产用于复杂的网络攻击之中。

近日，卡巴斯基的研究人员发现了iPhone一个非常隐蔽的后门。通过这个硬件级别的后门，能直接获得iPhone最高级别的Root权限。而要成功利用这个后门，必须要对苹果产品最底层的机制有非常全面细致的了解。以至于发现这个漏洞的卡巴斯基研究人员称「无法想象这个漏洞是如何被意外发现的。」在他看来，除了苹果和ARM之外，几乎不可能有人能获知这个漏洞。

而间谍软件可以通过这个复杂的漏洞，将麦克风录音、照片、地理位置和其他敏感数据传输到攻击者控制的服务器。尽管重新启动就能关闭这个漏洞，但攻击者只需在设备重新启动后向设备发送新的恶意iMessage文本，就能重新开启这个漏洞。期间完全不需要用户进行操作，而且也不会留下任何蛛丝马迹，非常隐蔽。对此，OpenAI科学家Andrej Karpathy表示：这无疑是我们迄今为止所见过的攻击链中最为复杂的一个。

1712113764_660cc864de767b809f28e.png!small?1712113766965

下面是卡巴斯基公布的完整的攻击链，包括用于获取受害者设备 root 权限的四个 0day 漏洞：

1. 攻击者向目标用户发送恶意 iMessage 附件，当受害者的 iPhone 收到消息时，iMessage 不会有任何提醒、同时自动处理该附件；

2. 这个恶意附件利用了未记录的、苹果独有的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990；

3. 恶意代码使用面向返回 / 跳转的编程和用 NSExpression/NSPredicate 查询语言编写的多个阶段，然后利用 JavaScriptCore 库环境执行权限提升；

4. 攻击者利用的 JavaScript 漏洞被混淆，这导致代码不可读，尽管如此研究人员发现攻击者大约使用了 11,000 行代码，主要用于 JavaScriptCore 和内存解析操作；

5. 攻击者利用 JavaScriptCore 调试功能 DollarVM ($vm) 来获得从脚本操作 JavaScriptCore 内存并执行本机 API 的能力；

6. 攻击者为了支持新旧 iPhone，所以还做了一个包含指针身份验证代码的绕过功能，可以用在最新款 iPhone 上；

7. 攻击者利用 XNU 内存映射系统中的整数溢出漏洞 CVE-2023-32434 来获取用户级别对设备整个物理内存读 / 写的访问权限；

8. 攻击者使用硬件内存映射 I/O 寄存器来绕过页面保护层，此问题已经通过 CVE-2023-38606 进行缓解；

9. 利用所有漏洞后，JavaScript 漏洞可以针对设备执行任何操作，包括运行间谍软件，但攻击者选择：

启动 IMAgent 进程并注入有效负载以清除设备中的漏洞利用痕迹；
以不可见模式运行 Safari 进程，并将其转发到下一攻击阶段使用的网页；

10. 该网页有一个脚本来验证受害者，如果检测通过则转到下一阶段：Safari 漏洞利用；

11. Safari 漏洞利用 CVE-2023-32435 来执行 shellcode；

12. shellcode 以 Mach 目标文件的形式执行另一个内核漏洞利用，它使用相同的漏洞：CVE-2023-32434 和 CVE-2023-38606，这与使用 JavaScript 编写的内核漏洞完全不同，不过目标也是用于内存解析操作，但在后期攻击者大部分功能并未使用；

13. 该漏洞利用获得 root 权限并继续执行其他阶段，包括加载间谍软件等。