技术分析 | 为什么一张图片就能苹果手机重启
昨天,小编发了《最新!用一张图让苹果手机关机》,只要打开这张图片,就可以导致iphone手机关机重启。今天看雪论坛(bbs.pediy.cm)就有小伙伴 obaby 和 exchen(陌陌安全)分析出来了,让我们一起来看看吧!
作者:obaby
原文链接:https://bbs.pediy.com/thread-251601.htm
刚看到这个的时候就尝试了一下,嗯,很成功,重启了~~
010编辑器打开图片文件会发现少了一部分数据。
对比正常的jpeg文件:
一个典型的数据格式为:
JPEG SOI : FF D8 // 图片起始
JPEG APP0:0xFFE0 //
APP0 SIZE:1D 23 //当前标记的长度
JFIF Flag:JFIF // JFIF 标识
VERSION:// 版本号
ATTRIBUTION: // 长宽、DPI等信息
JPEG APP1: FF E1
APP1 Size : 1C 45 // 注意:前面这三个WORD都是big endian的
EXIF Flag : 'Exif', 0, 0
---------
TIFF : // TIFF格式的EXIF数据
---------
JPEG APPn: FF En // APPn 标记,可选
DQT :0xFFDB //Define Quantization Table,定义量化表
SOF0:0xFFC0 //Start of Frame,帧图像开始
DHT:0xFFC4 //Difine Huffman Table,定义哈夫曼表
SOS:0xFFDA // Start of Scan,扫描开始 12字节
压缩数据
JPEG EOI : FF D9 // 图片结束开始猜测是否是由于缺少了结束标记导致的,于是我找了一张图。
去掉了最后的结束标记,事实证明并没有导致崩溃,但是却意外发现,如果只删除最后的结束标记会导致微信安卓版无法发送图片,并且安卓自带的相册无法显示图片。
如果发送给朋友则会直接发送失败,一致卡在0%。
并且这个图无法发布到朋友圈。
图片的这个样式其实在网络状态较差的情况下还是挺容易发现类似的现象的,如果网络有问题图片在加载的过程中就会出现只显示一半的情况。那么实际这个图的原始大小应该远大于1.5m应该是丢失了部分数据。按照画面比例实际丢失的数据大约有2/3。
但是至于为什么崩溃猜测可能和系统解析jpeg的库有关,昨晚想调试下,结果发现下载的支付宝咂壳不完整,monkeydev无法正常编译安装,手头也没越狱的设备只好作罢。
猜了一下可能的原因:
图片格式要求jpeg
数据长度
图片的宽高
上午的时候收到消息说现在可以随意构造图片了, 并且发了个图过来。试了一下确实同样会导致重启。对比了一下发现两个图片的数据头部是一样的,也就是说后来的这张图与最开始的图除了图片的数据不一样其他的数据都是一样的。现在还不知道具体是在解析那些数据的时候出现了问题,但是可以肯定的一点是,基于这个文件头可以构造别的图片了。
由于jpeg包含了分辨率,位深度, 单位分辨率相关信息,所以在构造这个图片的时候要保证数据来源图片的分辨率和原始图片的一致:
如果不一致可以使用ps等软件进行格式和分辨率转换。
两者一致之后剩下的工作就比较简单了,就是替换图片的scandata字段。该字段从FFDA(偏移850h)开始,到结尾的FFD9(偏移18CFF0)结束。
建议使用010 editor来进行处理,找到要替换数据的scandata字段,复制,粘贴到旧文件的scandata字段,删除18CFF0之后的数据保存即可。
测试图片链接:http://hlzjc.gdcyl.org/kindeditor/attached/image/20170627/2017062715330265265.jpg
合成之后的效果:
并且这个数据并不是必须是真实的数据,直接权0填充掉scandata也是可以的:
这样一个能让iOS重启的图片就做好了,如果有条件可以找个iOS设备调试下看看具体的崩溃地址,这个崩溃太及时了,系统没有办法记录app的崩溃日志,所以要看崩溃日志貌似也只能调试,等再有时间了拿真机去调试下看看。
参考链接: https://blog.csdn.net/shelldon/article/details/54144406
原始地址:https://bbs.pediy.com/thread-251582.htm
本文图片原图请点击左下角阅读原文,查看下载。
作者:暗夜盗魔(看雪ID)
原文链接:https://bbs.pediy.com/thread-251601.htm
昨天看到一个贴子:一张图片能让 iOS 系统重启,通过微信等社交软件可以快速进行传播。对这张图片非常感兴趣,于是开始研究,通过分析文件结构,发现 WechatIMG13720 1.jpg 样本文件有三个特点:
(1) 对比其他照片多了一个 AROT 的结构,这个结构很可疑,信息如下:
只有 iPhone X 等高端机型拍摄的照片才会有 AROT 结构,而 iPhone 6 等低端的机型拍摄的照片没有 AROT 结构,可能出 iPhone 6 那时苹果还没加这类的功能。
(2) Exif 结构里的 ifdMainImage,找到 ExifTag 为 247, 有一个名 usValue,这个值必须要是 1, 有时拍照保存的是 6, 不会触发漏洞,这个值和图片的显示方式有关。
(3) 样本图片之所以显示不完整,是因为scanData 数据被截断,而且没有结束标记,正常的 jpg 图片,最后是有结束标记(FF D9),但是样本文件却没有。
通过以上的三个特点,判断造成系统重启的原因是,由于图片被截断,系统在处理 AROT 结构时发生了错误。如果要构造一个能让系统重启的图片,使用 iPhone X 拍照,使用 010 Editor 打开文件,查看确认 Exif -> ifdMainImage -> ExifTag(247) -> usValue 为 1, 然后删除最后的结束标记(FF D9),再把 scanData 至少删掉一半的数据,保存为新的图片文件,发送给微信好友,点击查看原图系统马上重启。
相关参考资料
http://www.hackerfactor.com/blog/index.php?/categories/1-Image-Analysis/P2.html
https://www.media.mit.edu/pia/Research/deepview/exif.html
Author: exchen
- End -
看雪ID:obaby
https://bbs.pediy.com/user-211565.htm
本文由看雪论坛 obaby 原创
转载请注明来自看雪社区
⚠️ 注意
2019 看雪安全开发者峰会门票正在热售中!
长按识别下方二维码,即可享受 2.5折 优惠!
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
↙点击下方“阅读原文”,查看更多干货