高淨值人士請小心!iMessage 零點擊攻擊正朝你的 iPhone 襲來
據行動端點偵測與回應(EDR)公司 iVerify 表示,近日一些歐盟與美國高淨值人士的 iPhone 出現異常當機事件。該公司研判該事件應該與針對 iMessage 漏洞所發動的零點擊攻擊(zero-click attack)有關。但蘋果卻對這樣的說法加以嚴正駁斥,並表示未發現有任何該漏洞被用來發動漏洞攻擊的可信跡象。
這些可疑活動發生於 2024 年底至 2025 年初之際,最近一起事件發生在 2025 年 3 月,據稱有 6 支屬於政治競選團隊、政府機構、媒體組織與科技公司成員的手機裝置被鎖定。
該資安公司在其中 4 支手機上發現了惡意攻擊特徵碼,這些特徵碼與駭客如何利用「Nickname」漏洞來發動漏洞攻擊有關;另外兩支手機則顯示出明顯遭入侵的跡象。吊詭的是,所有受害者先前都曾遭到中國國家贊助駭客的鎖定。
據 iVerify 所發布的技術報告指出,被利用的「Nickname」漏洞存在於名為「imagent」的程序中,該程序負責處理包括與 Nickname Update 功能(允許使用者分享個人化聯絡資訊)相關資料在內的iMessage 封包流量。
該程序在將該更新功能廣播到系統其他部分時,會使用一個可變的資料容器,然而該容器在被其他程序存取期間仍可被修改,進而產生會進一步觸發「釋放後使用」(use-after-free) 記憶體損壞漏洞的競爭危害(race condition)。
這個安全缺陷最令人擔憂的地方是,只要向 iMessage 傳送「大量、快速連發的 Nickname Update」,便能在無需使用者互動的情況下被觸發。
iVerify 並且發現,只有那些被威脅發動者視為潛在攻擊目標的人,其裝置上才會出現與 Nickname Updates 有關的當機情況,這顯示出這些當機事件的確有針對性攻擊的味道。
在那些遭到 Nickname 漏洞攻擊的 iPhone 上,iVerify 發現了類似間諜軟體攻擊的手法,亦即在名為「imagent」的程序當機後的 20 秒,與 SMS 附件與訊息詮釋資料相關的目錄竟然遭到修改並清空。iVerify 透過間接證據認為,這些攻擊很有可能與中國駭客有關。
(首圖來源:Unsplash)