[하루한줄] IOS wifi RCE 0-day
URL
Target
iOS 14.6
Explain
iOS 14의 Wi-Fi-Demon에서 발생하는 Format string bug가 패치되었습니다. 공식 공지에는 WiFi DoS로 공개되었지만 ZecOps Mobile EDR Research의 분석 결과에 따르면 zero-click RCE가 가능합니다. Wi-Fi-Demon은 와이파이 연결과 관련된 프로토콜을 처리하는 system daemon으로 root 권한으로 동작하기 때문에 해당 취약점을 악용해 sandbox escape 및 탈옥에 사용될 수도 있습니다.
%p%s%s%s%s%n 과 같이 SSID(이름)에 format string이 포함된 WiFi에 접속한다면 iPhone의 WiFi 및 핫스팟 기능에 영구적인 장애가 발생합니다. WiFi-Demon은 접속한 WiFi의 SSID를 캐쉬 하고 재시작할 때마다 그 파일에서 SSID를 읽기 때문에 재부팅을 해도 해결할 수 없습니다. WiFi DoS는 iOS 14.4에서 패치되었지만 최신 버전인 14.6에선 여전히 zero-click RCE를 이용한 exploit을 할 수 있습니다.
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.