只要现在街上还能看到开着的 AirDrop,那就说明系统版本低于 16.2(甚至 16.0),也就是有 n day 可以被打的版本。
陌陌安全找到的这个变种用了一个 CoreFoundation 里解析畸形 URL 的问题。在之前的 URI scheme poc 基础上,把 dataURI 的部分换成:http://@www.apple.com:@www.hacker.com
CoreFoundation 和 WebKit 解析 URL host 的逻辑存在差异。校验白名单的业务逻辑认为这是一个合法的域名(www.apple.com);传给 WebView 之后,WebKit 却载入了 www.hacker.com。到了 iTunes Store 这个上下文里直接一行代码就可以启动任意 app,以及干更多的事情。
两年后到了陌陌的这个 CVE 时,iTunes 已经把 iTunes.telephony 下的 API 删除,无法再获取电话号码。不然真是可怕。想象一下在地铁里手滑或者好奇点接收了一个 AirDrop,你的号码直接被陌生人知道了。