Üçgenleme: Casus yazılımlardan yararlanılan iPhone'larda daha önce bilinmeyen bir özellik

iPhone'ları hedef alan ve 2019'dan bu yana devam ettiğine inanılan, daha önce bilinmeyen bir casus yazılım kampanyasının, Apple Inc. tarafından tasarlanan çiplerdeki daha önce bilinmeyen bir özelliği kullandığı ortaya çıktı. Donanım tabanlı güvenlik korumalarını atlamak için.

Menteşe Bugün Kaspersky Labs Inc.'den araştırmacılar tarafından. içinde Otuz Yedinci Kaos Konferansı“Operasyon Üçgenleme” olarak adlandırılan kampanya, iOS 16.2'ye kadar olan sürümlerdeki dört güvenlik açığını kullanan Apple'ın iMessage'ına sıfır tıklama saldırısıyla başlıyor. Sıfır tıklama saldırısı, adından da anlaşılacağı gibi, kullanıcının tıklamasına gerek kalmadan hedef cihaza bulaşabilen bir saldırıdır.

Saldırı, arkasındakilerin, kullanıcıya herhangi bir belirti göstermeden uygulamanın işlediği kötü amaçlı bir iMessage eki göndermesini içeriyor. Saldırı ilk olarak uzaktan kod yürütme güvenlik açığından yararlanıyor ve bu güvenlik açığı şu şekilde izleniyor: CVE-2023-41990, daha önce belgelenmemiş, yalnızca Apple'a özel ADJUST TrueType yazı tipi talimatlarında. Araştırmacılar, talimatların 1990'ların başından beri mevcut olduğunu ancak yakın zamanda kaldırıldığını belirtiyor.

Saldırganlar erişim sağladıktan sonra, JavaScriptCore kitaplık ortamı da dahil olmak üzere iOS'taki çeşitli güvenlik açıklarından yararlanarak JavaScript ayrıcalık yükseltme istismarını gerçekleştirebilir. Bu istismar, okunamaz hale getirilecek şekilde gizlenir ve ardından JavaScriptCore belleğini yönetme ve API işlevlerini yürütme yeteneği kazanmak için bir hata ayıklama alıcısından yararlanır.

Saldırıda yararlanılan diğer güvenlik açıkları arasında tamsayı taşması güvenlik açığı yer alıyor CVE-2023-32434sayfa koruma katmanı atlaması şu şekilde izlenir: CVE-2023-38606ve Safari'den yararlanın CVE-2023-32435. Sonunda, kötü amaçlı yazılım kök ayrıcalıkları kazanır ve casus yazılım indirme dahil daha ileri aşamaları gerçekleştirir.

Saldırı zincirleri teknik olabilir ancak ilginç hareket, CVE-2023-38606'nın Sayfa Koruma Katmanı Atlaması'nın istismarı ve nasıl istismar edildiğiydi. Kaspersky araştırmacıları bunun nedeninin, saldırganların “belirli bir fiziksel adrese veri yazarken donanım tabanlı bellek korumasını atlayarak veri, hedef adres ve çipin donanım yazılımı tarafından kullanılmayan bilinmeyen donanım kayıtlarına veri karmaları yazabilmesi” olduğunu söylüyor.

Peki bilinmeyen cihazların avantajı nedir? Araştırmacılar bile emin değil.

Araştırmacılar, “Bu bilinmeyen donanım özelliğinin muhtemelen Apple veya fabrika mühendisleri tarafından hata ayıklama veya test amacıyla kullanılmak üzere tasarlandığına veya yanlışlıkla dahil edildiğine inanıyoruz” diye açıklıyor. “Bu özellik ürün yazılımı tarafından kullanılmadığından, saldırganların onu nasıl kullanacaklarını nasıl bilecekleri hakkında hiçbir fikrimiz yok.”

Araştırmacılar, diğer iOS araştırmacılarının bulguları doğrulayabilmesi ve saldırganların bilinmeyen bir donanım özelliğini nasıl öğrendiğine dair olası açıklamalar getirebilmesi için, açıktan yararlanmaya ilişkin teknik ayrıntıları en azından topladıkları kadarıyla tam olarak yayınladılar.

Resim: D-E3