发现零日漏洞“Triangulation”安全公司卡斯佩尔斯基发表了一份分析结果，分析结果显示了“Triangulation”的技术细节。

Operation Triangulation: The last (hardware) mystery | Securelist

https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/

4-year campaign backdoored iPhones using possibly the most advanced exploit ever | Ars Technica

https://arstechnica.com/security/2023/12/exploit-used-in-mass-iphone-infection-campaign-targeted-secret-hardware-feature/

零日漏洞“Triangulation”只需发送 iMessage 即可访问设备中的敏感数据，包括麦克风和摄像头，卡斯佩尔斯基确认了至少从2019年开始的该漏洞已经被利用了4年。这个漏洞不仅仅是iPhone，对Mac·iPod·iPad·Apple TV·Apple Watch也一样存在。即使是专业的信息安全人员的人也很难发现问题。

Apple在2023年6月 实施了一个安全更新，修复了这个可能已被利用的零日漏洞

About the security content of iOS 15.7.7 and iPadOS 15.7.7 - Apple Supporthttps://support.apple.com/en-us/HT213811

2023 年 12 月 27 日，卡巴斯基实验室公布了零日漏洞“Triangulation”分析结果。 攻击链如下图所示。

在攻击链的每个阶段，攻击都按如下方式进行。

1：攻击者通过 iMessage 发送恶意附件，应用程序在不通知用户任何内容的情况下处理此文件。

2：利用远程代码执行漏洞CVE-2023-41990，其中附件位于ADJUST TrueType字体指令中 该漏洞自 90 年代初就一直存在，直到被补丁删除。

3：用 JavaScript 编写的权限提升漏洞 执行ROP/JOP和 NSExpression/NSPredicate，使用用查询语言编写的多个阶段来修补 JavaScriptCore 库。 这个JavaScript代码是混淆的，虽然它被缩小了，但它的代码量约为11,000行，据说它分析和操作JavaScript核心和内核内存。

4：获得执行本机API 函数的能力。 使用 JavaScriptCore 的调试功能 DollarVM（$vm） 来操作 JavaScriptCore 的内存并获得执行本机API 函数的能力。 它支持新旧 iPhone，并具有绕过指针身份验证代码 （PAC） 的机制。

5：在用户级别获取对设备整个物理内存的读/写访问权限 XNU 内核内存映射系统调用和整数溢出漏洞。它利用 CVE-2023-32434 在用户级别获得对设备整个物理内存的读/写访问权限。

6：旁路页面保护层：使用内存映射 I/O 寄存器绕过页面保护层。 此漏洞已修复为 CVE-2023-38606。

7：验证和擦除入侵痕迹。 在这个阶段，可以执行各种操作，例如在设备上执行间谍软件，但Triangulation攻击者在这里擦除了入侵的痕迹，以隐藏模式启动Safari，并将其设置为访问网页以验证受害者。

8：安装恶意软件 如果它“通过”验证，它将使用 CVE-2023-32435 执行 shellcode。 shellcode 执行另一个内核漏洞 CVE-2023-32434 和 CVE-2023-38606，允许攻击者获得 root 权限并同时安装间谍软件。

在此攻击链中，攻击者用于绕过页面保护层的内存映射 I/O 的地址是设备树有些东西是不存在的。 该地址允许将任意数据写入任何物理地址，绕过基于硬件的内存保护系统。 该地址未用于芯片的固件或硬件寄存器中，卡巴斯基研究人员推测是为了调试和测试的目的而内置的，或者是错误内置的功能。

卡巴斯基研究人员检查了源代码、内核映像和固件等各种地方，但没有关于内存映射 I/O 地址的描述，Triangulation攻击者如何学会如何使用这个地址是一个谜。

关于Triangulation，俄罗斯联邦安全局（FSB）声称“美国情报机构与苹果合作，植入恶意软件以从俄罗斯外交官那里获取信息”，但苹果否认了这一怀疑。

Подробная информация :: Федеральная Служба Безопасности ( Официальное сообщение )

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html