蘋果iOS 10.3.1修復的WiFi漏洞還影響到了大量Android手機，用博通WiFi晶元都危險了

數百萬採用博通WiFi晶元的智能手機和智能設備，包括蘋果iOS設備和眾多品牌的Android設備都可能通過無線被劫持，劫持過程不需要與用戶交互。

就在昨天，蘋果緊急發布iOS 10.3.1，用以修復幾個高危漏洞。其中一個漏洞格外引人注目，處於同一WiFi網路中的攻擊者可利用該漏洞在設備使用的博通WiFi系統級晶元（SoC）上遠程執行惡意代碼。

此漏洞由谷歌Project Zero員工Gal Beniamini發現，Beniamini發布了一篇長博客披露研究細節。文中他將漏洞描述為棧緩衝區溢出問題，Beniamini稱漏洞不僅僅影響蘋果設備，還影響了所有使用博通WiFi晶元的設備。

Beniamini稱，此問題存在於博通固件代碼之中，可導致遠程代碼執行漏洞，允許處於設備WiFi範圍內的攻擊者向目標設備發送並執行代碼。更牛逼的攻擊者還可以部署惡意代碼，完全控制受害者的設備，並在受害者不知情的情況下安裝諸如銀行木馬、勒索軟體、惡意廣告等惡意程序。

接下來，Beniamini還將發布博客，解釋攻擊者在控制WiFi晶元之後，如何進一步越權訪問應用程序處理器，並控制操作系統。

無線博通WiFi SoC入侵

據Beniamini的說法，博通WiFi晶元上運行的固件可以被欺騙，導致棧緩衝溢出。Beniamini向WiFi控制設備發送了他精心修改過的帶異常值的WiFi幀，從而觸發固件棧溢出。

Beniamini隨後把上述的值與晶元中頻繁的計時器觸發頻率結合，漸漸覆蓋設備的RAM，直至惡意代碼被執行。

因此，為了利用此漏洞，攻擊者必須在目標設備的WiFi覆蓋範圍內。

Beniamini認為，雖然在WiFi晶元上實現該利用是相當複雜的，但就安全而言，仍然是一個問題，尤其是因為這個問題無法依靠基礎的漏洞利用緩解方式解決，包括堆cookie、安全斷開鏈接、訪問許可保護等。

Beniamini也在博客中給出了PoC，而且還在一台運行Android 7.1.1版本NUF26K的Nexus 6P（現已修復）上實現了。

除了這個漏洞之外，Beniamini還在博通WiFi晶元6.37.34.40版本固件中發現了其他幾個漏洞。

Nexus與iOS已發布補丁，其他機型還需等待

谷歌Project Zero團隊在去年12月就把這個問題上報給了博通。因為漏洞在博通的代碼當中，智能手機廠商智能等博通發布補丁，然後才能測試補丁，併發送給用戶。

谷歌和蘋果分別於周一發布安全更新，修復該漏洞。谷歌通過2017年4月Android安全公告發布更新，而蘋果則發布了iOS10.3.1。

這個漏洞也影響多數三星旗艦機，包括Galaxy S7 （G930F, G930V）、 Galaxy S7 Edge （G935F, G9350）、Galaxy S6 Edge （G925V）、 Galaxy S5 （G900F）和Galaxy Note 4 （N910F）。