giovedì, Dicembre 19, 2024

Kaspersky scopre l’iPhone Vulnerability più complessa mai vista

Kaspersky ha scoperto la più complessa vulnerabilità di iPhone mai incontrata

Ricercatori di Kaspersky hanno completato l’analisi della più sofisticata e complessa catena di attacchi informatici ad iPhone mai vista, chiamata “Operation Triangulation”, e diretta principalmente ai telefoni di funzionari russi di missioni diplomatiche e di ambasciate in Russia, e a quelli degli stessi dipendenti di Kaspersky che ha sede a Mosca.

Quella funzione Hardware conosciuta da pochi

I ricercatori hanno detto che la catena di vulnerabilità sfruttata dagli attaccanti per installare il malware era talmente complessa che per metterla in pratica erano necessarie informazioni su caratteristiche hardware in possesso di pochi al di fuori di Apple e ARM.

Kaspersky non è in grado di spiegare come queste informazioni siano finite nelle mani di chi utilizzava Triangulation, nonostante la completa analisi presentata nel corso del 37° Chaos Communication Congress di Amburgo e pubblicata anche su Securelist, che ha richiesto quattro anni di lavoro.

I ricercatori si sono imbattuti per la prima volta in Triangulation nel 2019, durante il monitoraggio del traffico di rete della rete Wi-Fi di Kaspersky dedicata ai dispositivi mobili, notando un’attività sospetta proveniente da diversi telefoni basati su iOS.

Le indagini successive hanno portato alla scoperta di infezioni trasmesse con dei messaggi iMessage che installavano il malware attraverso una complessa catena di quattro vulnerabilità senza richiedere al destinatario di intraprendere alcuna azione.

Le quattro vulnerabilità sono state già corrette da Apple a partire da iOS 16.2.

Nell’ultima analisi presentata, Kaspersky ha dato più informazioni sulla funzione hardware segreta che permetteva il “flusso” della catena di attacchi e che risiedeva anche su Mac, iPad, Apple Watch, Apple TV e iPod.

I dispositivi erano quindi infettati da uno spyware completo in grado di trasmettere foto, registrazioni dal microfono, posizione e altri dati sensibili ai server degli aggressori.

Questa vulnerabilità hardware consentiva di aggirare le protezioni avanzate della memoria, progettate per salvaguardare l’integrità del sistema anche dopo che un aggressore ha acquisito la capacità di manomettere la memoria del kernel.

Per poter aggirare queste protezioni, gli aggressori dovevano essere a conoscenza degli indirizzi MMIO (Memory-mapped Input/Output) che permettono alla CPU la scrittura del registro hardware di una periferica. Ma questi indirizzi non erano desumibili da una lettura del “device tree” che è la struttura di dati che descrive i componenti hardware di un dispositivo.

Pur avendo applicato complesse tecniche di ingegneria inversa sui codici sorgente, le Immagini del kernel e il firmware per scoprire e studiare Operation Triangulation, i ricercatori di Kaspersky non sono riusciti a trovare alcun riferimento agli indirizzi MMIO hardware che invece venivano usati dagli attaccanti.

Come funzionava Operation Triangulation

In breve, Operation Triangulation partiva da una vulnerabilità nell’implementazione di Apple dei font TrueType che permetteva di eseguire codice da remoto con privilegi minimi; da qui partiva l’attacco al kernel sfruttando gli indirizzi MMIO “segreti”; quindi veniva usata una vulnerabilità Safari per ottenere l’accesso root necessario a installare lo spyware.

Al momento, Kaspersky non può attribuire in modo definitivo l’attacco Triangulation a nessun attore noto, perché le caratteristiche uniche osservate non si allineano con gli schemi delle strategie di attacco conosciute e già impiegate da altri soggetti.

(Fonte: Securelist by Kaspersky)

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: