如果你最近還沒更新你的iPhone或安卓設備，最好現在馬上就更新。除非安裝了最新的補丁，否則極少被檢查的WiFi芯片中所含的一個漏洞，可使黑客隱身潛入10億臺設備中的任何一臺。沒錯，不是百萬臺，不是千萬臺，是10億臺。

侵害范圍這么廣的漏洞極少出現，真是謝天謝地。蘋果和谷歌投入巨資保護他們的移動操作系統，給黑客設下層層障礙，還為其軟件漏洞開出舉報獎勵。但現代計算機或智能手機就是某種形式上的硅基科學怪人，渾身插滿來自第三方公司的組件，其中代碼谷歌和蘋果都控制不了。而當安全研究員尼泰·阿滕斯坦深入探索驅動每臺iPhone和大部分現代安卓設備的博通芯片模塊時，他就發現了一個可完全破壞掉那昂貴安全投入的漏洞。

該漏洞被阿滕斯坦命名為Broadpwn，上幾周谷歌和蘋果就在加緊著手修復該漏洞。若未安裝該修復補丁，置身目標WiFi范圍內的黑客，便不僅可以黑入受害者手機，還能將受害手機轉化為惡意接入點，感染附近的手機，一臺接一臺地擴散，正如阿滕斯坦所描述的——首款WiFi蠕蟲。

雖然該漏洞已被修復——說真的，趕緊更新，但其仍然能為我們的設備基本安全提供更深層次的思考。不遠的將來，智能手機黑客攻擊可能會更少著眼于操作系統，而更多地放在外圍組件的潛在漏洞上。

阿滕斯坦在剛剛落幕的美國黑帽安全大會上展示了他的發現，并在隨后的《連線》雜志采訪中說：“主流系統，比如搭載了iOS或安卓的應用處理器，在密集的安全研究下已經被強化了不少，因而安全研究員們開始探索其他的方向。他們開始尋找漏洞利用還沒那么難的地方。”

隨著黑客找尋越來越罕見的無用戶互動攻擊，比如在瀏覽器里打開惡意網頁，或者點擊短信中的惡意鏈接，他們將專注在諸如博通芯片這樣的第三方硬件組件上。

Broadpwn

阿滕斯坦是安全公司 Exodus Intelligence 的一名研究員，他幾年前就懷疑博通的WiFi芯片可能提供了通往智能手機內部的新康莊大道。畢竟，現代手機的“內核”，如今被各種各樣的防護措施保護得嚴嚴實實的，比如防止黑客利用內存的地址空間布局隨機化(ASLR)，還有數據執行保護——防止黑客在數據中植入惡意指令誘騙計算機執行之。

但博通的WiFi控制器沒有這些防護措施，且在各大生產商和操作系統中都能見到，從最新的三星Galaxy到每一臺iPhone。在黑帽大會的演講中，阿滕斯坦說道：“很明顯，這是一個有趣得多的攻擊界面。你不用重復工作。只要發現一個漏洞，就能在多個地方重用。”

于是，大約1年前，阿滕斯坦開始了艱難的博通芯片固件逆向工程。GitHub上意外泄露的博通源代碼幫了他大忙。在代碼挖掘過程中，他很快發現了問題點。“仔細查看這些系統，你會像重回過去美好時光一樣發現漏洞。”

最終，他發現了一個特別重要的漏洞，隱藏在博通的“關聯”過程中，也就是允許手機在連接WiFi之前搜索熟悉的WiFi網絡的過程。該握手過程開端的一部分，并未恰當限定WiFi接入點發回給芯片的一段數據——所謂“堆溢出”漏洞。通過精心編制的響應，該接入點可發送能破壞該模塊內存的數據，溢出到內存其他部分，作為指令執行。

可以用特殊方法構造畸形響應數據，獲得在內存任意位置寫入的權力。如果黑客想要遠程攻擊現代操作系統里受保護的隨機化內存，這種溢出是非常難以實現的，但對智能手機上的博通WiFi模塊內存使用，卻異常契合。“這是個相當特殊的漏洞。”

由于該漏洞存在于博通代碼中負責自動關聯手機與接入點的部分，拿下WiFi芯片的整個過程，可在用戶毫無所覺的情形下發生。更糟的是，該攻擊還可將WiFi芯片本身轉化為接入點，向WiFi范圍內任意脆弱手機廣播該攻擊，在智能手機世界里形成指數級擴散。

阿滕斯坦自己倒是還沒走到從WiFi芯片擴散到手機內核的這一步，但他相信，對有動力的黑客而言，這最后一步不無可能。

對一個有各種資源的真實攻擊者而言，這不是問題。

谷歌在7月初放出了安卓手機的更新，上周，蘋果也跟進了iOS補丁，就在26號阿滕斯坦在博客帖子里揭示完整漏洞信息之前。

最弱一環

這不是博通漏洞第一次騷擾智能手機行業了。今年早些時候，蘋果和谷歌就不得不搶救另一個博通WiFi漏洞。該漏洞是谷歌“零日計劃”研究團隊成員加爾·貝尼亞米尼發現的。與阿滕斯坦的攻擊類似，該漏洞也會導致對WiFi范圍內任意安卓或iPhone的權限獲取。

阿滕斯坦和貝尼亞米尼攻擊的潛在嚴重性(這些都可能潛伏在手機里多年)，指向了相對未經審查的組件中所存漏洞的危險性，比如博通賣出的那些組件。

自2010年起，網絡安全世界就已經越來越注意到第三方芯片的漏洞了，比如處理智能手機通訊的基帶處理器。但就在研究人員更深入地審查基帶芯片時，其他芯片，比如處理WiFi、藍牙、近場通訊的那些，依然審查得不是那么嚴格。

高通公司安全工程經理阿列克斯·甘特曼辯稱，高通廣為使用的基帶芯片，不受博通芯片那種缺乏防護的困擾。雖然沒有保護操作系統內核的那種內存隨機化，高通的芯片也是實現了數據執行保護的。但他也承認，Broadpwn那樣的漏洞依然表明，設備制造商不僅僅需要考慮第三方組件的安全，還要內置能夠限制被黑所造成的損害的防護措施。“你必須得將一臺計算機當做一個被恰當分隔的網絡，這樣即便獲取了某個組件的控制權，也控制不了整個系統。”

除非這些手機外圍組件的安全，升級到其操作系統內核的安全水平，否則黑客會一直挖掘它們。阿滕斯坦以他自己和谷歌貝尼亞米尼的漏洞發現為例，指出此類第三方組件黑客攻擊會洶涌而來。

我們倆都在無人探究數年后選擇了這個研究方向，意味著威脅態勢正在改變。攻擊者開始轉向硬件。我認為此類攻擊將會增加。