網(wǎng)絡(luò)安全公司iVerify發(fā)現(xiàn)，蘋果iMessage中存在一個此前未知的零點擊漏洞（zero-click vulnerability），已被復(fù)雜威脅行為者用于攻擊美國和歐盟地區(qū)的知名人士。該漏洞代號"NICKNAME"，影響iOS 18.1.1及更早版本，蘋果已在iOS 18.3中靜默修復(fù)。

漏洞技術(shù)原理

"NICKNAME"漏洞利用了iOS設(shè)備處理iMessage流量的"imagent"進(jìn)程中的競態(tài)條件（race condition）。當(dāng)用戶更新聯(lián)系人資料（包括昵稱、照片或壁紙）時，系統(tǒng)會生成"昵稱更新"數(shù)據(jù)由接收方設(shè)備處理。

技術(shù)缺陷核心在于imagent處理這些更新數(shù)據(jù)的方式。在蘋果修復(fù)前，系統(tǒng)使用可變數(shù)據(jù)容器（NSMutableDictionary對象），這些容器在被其他進(jìn)程同時訪問時仍可被修改。這導(dǎo)致典型的競態(tài)條件——一個線程可能正在讀取昵稱更新詳情，而另一個線程同時修改同一數(shù)據(jù)容器。

這種內(nèi)存損壞可能觸發(fā)釋放后使用（Use-After-Free，UAF）漏洞，導(dǎo)致imagent進(jìn)程崩潰。但高級攻擊者可利用此損壞作為初始攻擊手段，最終在目標(biāo)設(shè)備上執(zhí)行代碼。

攻擊活動分析

2024年4月至2025年1月期間，iVerify分析近5萬臺設(shè)備的崩潰數(shù)據(jù)，發(fā)現(xiàn)與昵稱更新相關(guān)的imagent崩潰極為罕見，僅占收集到的所有崩潰日志的0.001%以下。

特別可疑的是，這些崩潰僅出現(xiàn)在可能成為高級持續(xù)性威脅（APT）攻擊目標(biāo)的個人設(shè)備上。受影響設(shè)備屬于歐盟和美國地區(qū)的政治競選工作人員、記者、科技公司高管和政府官員。最值得注意的是，研究人員在一名歐盟高級政府官員的設(shè)備上觀察到此類崩潰，約30天后該官員收到了蘋果威脅通知。

對受影響設(shè)備的取證分析顯示，存在與已知間諜軟件清理程序一致的異?；顒印Ｖ辽僭谝慌_設(shè)備上，與短信附件和消息元數(shù)據(jù)相關(guān)的目錄在imagent崩潰后僅20秒就被修改并清空，這種行為與已確認(rèn)的商業(yè)間諜軟件攻擊技術(shù)相似。

修復(fù)與防護(hù)建議

蘋果在iOS 18.3中通過采用更安全的昵稱更新處理方式修復(fù)了該漏洞。具體修復(fù)措施包括在廣播昵稱更新時使用字典的不可變副本，有效防止了被利用的競態(tài)條件。

imagent進(jìn)程一直是高級攻擊者的常見目標(biāo)，此前在FORCEDENTRY和BLASTPASS等高調(diào)攻擊活動中被利用。盡管蘋果在iOS 14中實施了BlastDoor沙箱防護(hù)，但頑固的威脅行為者仍在尋找突破蘋果防御的狹窄攻擊途徑。

安全專家建議所有iPhone用戶立即更新至最新iOS版本，高風(fēng)險個人尤其建議啟用蘋果的鎖定模式（Lockdown Mode），以增強(qiáng)對復(fù)雜零點擊攻擊的防護(hù)能力。