黑客利用iMessage零点击漏洞攻击iPhone用户

网络安全公司iVerify发现，苹果iMessage中存在一个此前未知的零点击漏洞（zero-click vulnerability），已被复杂威胁行为者用于攻击美国和欧盟地区的知名人士。该漏洞代号"NICKNAME"，影响iOS 18.1.1及更早版本，苹果已在iOS 18.3中静默修复。

漏洞技术原理

"NICKNAME"漏洞利用了iOS设备处理iMessage流量的"imagent"进程中的竞态条件（race condition）。当用户更新联系人资料（包括昵称、照片或壁纸）时，系统会生成"昵称更新"数据由接收方设备处理。

技术缺陷核心在于imagent处理这些更新数据的方式。在苹果修复前，系统使用可变数据容器（NSMutableDictionary对象），这些容器在被其他进程同时访问时仍可被修改。这导致典型的竞态条件——一个线程可能正在读取昵称更新详情，而另一个线程同时修改同一数据容器。

这种内存损坏可能触发释放后使用（Use-After-Free，UAF）漏洞，导致imagent进程崩溃。但高级攻击者可利用此损坏作为初始攻击手段，最终在目标设备上执行代码。

攻击活动分析

2024年4月至2025年1月期间，iVerify分析近5万台设备的崩溃数据，发现与昵称更新相关的imagent崩溃极为罕见，仅占收集到的所有崩溃日志的0.001%以下。

特别可疑的是，这些崩溃仅出现在可能成为高级持续性威胁（APT）攻击目标的个人设备上。受影响设备属于欧盟和美国地区的政治竞选工作人员、记者、科技公司高管和政府官员。最值得注意的是，研究人员在一名欧盟高级政府官员的设备上观察到此类崩溃，约30天后该官员收到了苹果威胁通知。

对受影响设备的取证分析显示，存在与已知间谍软件清理程序一致的异常活动。至少在一台设备上，与短信附件和消息元数据相关的目录在imagent崩溃后仅20秒就被修改并清空，这种行为与已确认的商业间谍软件攻击技术相似。

修复与防护建议

苹果在iOS 18.3中通过采用更安全的昵称更新处理方式修复了该漏洞。具体修复措施包括在广播昵称更新时使用字典的不可变副本，有效防止了被利用的竞态条件。

imagent进程一直是高级攻击者的常见目标，此前在FORCEDENTRY和BLASTPASS等高调攻击活动中被利用。尽管苹果在iOS 14中实施了BlastDoor沙箱防护，但顽固的威胁行为者仍在寻找突破苹果防御的狭窄攻击途径。

安全专家建议所有iPhone用户立即更新至最新iOS版本，高风险个人尤其建议启用苹果的锁定模式（Lockdown Mode），以增强对复杂零点击攻击的防护能力。