Kaspersky’s Global Research and Analysis Team (GReAT) ontdekte een tot nu toe onbekende hardwarefunctie in Apple iPhones. De functie is cruciaal voor de Operation Triangulation-campagne.
Kaspersky’s GReAT-team ontdekte een kwetsbaarheid in het Apple system-on-a-chip, of SoC, die een cruciale rol heeft gespeeld in de recente iPhone-aanvallen, bekend als Operation Triangulation. Hierdoor konden aanvallers de hardwarematige geheugenbeveiliging op iPhones met iOS-versies tot en met iOS 16.6 omzeilen.
Probleem verholpen
De ontdekte kwetsbaarheid is een hardwarefunctie. Die is mogelijk gebaseerd op het principe van “beveiliging door middel van onopvallendheid”, en was mogelijk bedoeld voor testen of debuggen. Na de eerste 0-click iMessage aanval en de daaropvolgende privilege-escalatie, maakten de aanvallers gebruik van deze hardwarefunctie om hardware-gebaseerde beveiliging te omzeilen. En om de inhoud van beschermde geheugengebieden te manipuleren. Deze stap was cruciaal voor het verkrijgen van volledige controle over het apparaat. Apple verhielp het probleem inmiddels.
Reverse engineering
Voor zover Kaspersky weet, documenteerde niemand deze functie eerder niet openbaar. Dit vormde een aanzienlijke uitdaging bij de detectie en analyse ervan met behulp van conventionele beveiligingsmethoden. GReAT-onderzoekers deden aan uitgebreide reverse engineering. Ze analyseerden nauwgezet de hardware- en software-integratie van de iPhone. Men concentreerde zich met name op de Memory-Mapped I/O, of MMIO-adressen. Die zijn cruciaal voor het faciliteren van efficiënte communicatie tussen de CPU en randapparatuur in het systeem.
Onbekende MMIO-adressen, die de aanvallers gebruikten om de hardwaregebaseerde kernel geheugenbescherming te omzeilen, werden in geen enkele apparaatboomreeks geïdentificeerd. Dit vormde een aanzienlijke uitdaging. Het team moest ook de ingewikkelde werking van de SoC en de interactie met het iOS-besturingssysteem ontcijferen. Vooral wat betreft geheugenbeheer en beschermingsmechanismen. Dit proces bestond uit een grondig onderzoek van verschillende apparaatstructuurbestanden. Naast broncodes, kernel-afbeeldingen en firmware, in een zoektocht naar verwijzingen naar deze MMIO-adressen.
Beveilingsupdates
“Operation Triangulation’ is een Advanced Persistent Threat (APT)-campagne gericht op iOS-apparaten die eerder deze zomer door Kaspersky is ontdekt. Deze geraffineerde campagne maakt gebruik van ‘zero-click exploits’ die via iMessage worden verspreid, waardoor aanvallers volledige controle krijgen over het doelapparaat en toegang krijgen tot gebruikersgegevens. Apple heeft hierop gereageerd door beveiligingsupdates uit te brengen voor vier zero-day kwetsbaarheden die door onderzoekers van Kaspersky waren geïdentificeerd: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 en CVE-2023-41990. Deze kwetsbaarheden hebben invloed op een breed spectrum van Apple producten, waaronder iPhones, iPods, iPads, macOS-apparaten, Apple TV en Apple Watch. Kaspersky heeft Apple ook op de hoogte gebracht van de uitbuiting van de hardwarefunctie, wat ertoe heeft geleid dat het bedrijf de kwetsbaarheid heeft verholpen.
