Kaspersky dezvăluie „funcție” hardware necunoscută anterior folosită în atacurile iPhone • The Register

Echipa Globală de Cercetare și Analiză (GReAT) a Kaspersky a descoperit o „funcție” necunoscută anterior la iPhone-urile Apple, care permite atacatorilor să ocolească protecția memoriei bazată pe hardware.

Problema a fost rezolvată în CVE-2023-38606, care a fost corectat în iulie 2023. Problema a afectat iPhone-urile care rulează versiuni iOS până la 16.6, Conform Către Agenția de Securitate Cibernetică.

Kaspersky crede că caracteristica hardware ar fi putut fi destinată testării sau depanării. Desigur, banda GReAT nu a putut găsi nicio documentație publică despre aceasta, ceea ce înseamnă că vectorul de atac s-a dovedit dificil de detectat și analizat folosind instrumentele obișnuite ale echipei.

Potrivit Kaspersky, „Atacatorii au profitat de această caracteristică hardware pentru a ocoli protecțiile de securitate bazate pe hardware și pentru a manipula conținutul zonelor de memorie protejate”.

Cercetătorii au trebuit să facă o inginerie inversă a dispozitivului pentru a identifica vulnerabilitatea. O atenție deosebită a fost acordată adreselor de intrare și ieșire (IO) mapate în memorie (MMIO) utilizate pentru comunicarea între CPU și alte dispozitive. Problema a fost că atacatorii au folosit adrese MMIO necunoscute pentru a ocoli protecția kernel-ului bazată pe hardware. Deci, echipa a trebuit să examineze imaginile hardware, firmware și kernel pentru a vedea ce se întâmplă.

„Aceasta nu este o vulnerabilitate obișnuită”, a spus Boris Larin, cercetător principal de securitate la Kaspersky's GReAT.

„Datorită naturii închise a ecosistemului iOS, procesul de detectare a fost dificil și a consumat timp, necesitând o înțelegere cuprinzătoare atât a arhitecturii hardware, cât și a software-ului. Ceea ce această descoperire ne învață încă o dată este că și protecțiile avansate bazate pe hardware pot fi oferite. ineficientă împotriva unui atacator.” „Sofisticat, mai ales când există caracteristici hardware care permit ocolirea acestor protecții”.

Vulnerabilitatea a jucat un rol critic în campania „Operation Triangulation” de la începutul acestui an, care a permis atacatorilor să obțină acces la dispozitivele vizate, să răspândească spyware și să exfiltreze datele utilizatorilor. Kaspersky a raportat exploitul către Apple, care a fost rapid atenuat.

Cu toate acestea, după cum notează Lahren, toate protecțiile hardware din lume nu vor ajuta dacă cineva lasă ceva nedocumentat care permite ocolirea acestor protecții. „Securitatea prin ambiguitate” pur și simplu nu o mai reduce. ®