Berbekalkan iOS 0days, penggodam iPhones dijangkiti secara tidak sengaja selama dua tahun

Berbekalkan iOS 0days, penggodam iPhones dijangkiti secara tidak sengaja selama dua tahun

Hacker mengeksploitasi lebih daripada sedozen kelemahan iOS-kebanyakannya tidak sepadan dengan zerodays-dalam kempen dua tahun yang mencuri foto, e-mel, kelayakan log masuk dan banyak lagi dari iPhones dan iPads, kata penyelidik dari Projek Zero Google.

Serangan itu dilancarkan dari sekumpulan kecil laman web yang digodam yang menggunakan eksploit untuk menyerang sewenang-wenangnya setiap peranti iOS yang dikunjungi. Serangan terhadap kerentanan berasingan 14 dibungkus ke dalam lima rantai eksploit yang terpisah yang memberikan penyerang keupayaan untuk mengompromikan peranti terkini dalam tempoh lebih daripada dua tahun. Analisis rantaian mengeksploitasi yang ditulis dengan baik menunjukkan mereka mungkin maju dengan seiring dengan versi iOS yang dimanfaatkan, yang merangkumi iOS iOS 10.0.1 yang dikeluarkan pada bulan September 2016 ke 12.1.2 yang dikeluarkan Disember lalu.

Pemantauan masa nyata bagi keseluruhan populasi

"Saya tidak akan membincangkan sama ada eksploitasi ini bernilai $ 1 juta, $ 2 juta, atau $ 20 juta," penyelidik Zero Projek Ian Beer menulis dalam jawatan mendalam menganalisis eksploit dan malware yang dipasangnya. "Saya sebaliknya akan mencadangkan bahawa semua tag harga kelihatan rendah untuk kemampuan untuk menyasarkan dan memantau aktiviti peribadi seluruh penduduk secara real time."

Jawatan itu tidak memberi nama atau menggambarkan mana-mana laman web yang diretas, selain mengatakan mereka dianggarkan "menerima beribu-ribu pelawat setiap minggu." Projek Zero atau Apple tidak menawarkan panduan kepada pengguna iOS yang ingin tahu jika mereka mungkin telah dijangkiti. Malware yang dipasang, yang hampir mustahil bagi kebanyakan pengguna untuk mengesan, tidak dapat bertahan selepas peranti reboot, jadi telefon yang dikompromi akan dibasmi kuman sebaik sahaja ia dimulakan semula. Namun, kerana implan menghantar data yang begitu luas kepada pelayan yang diserang oleh penyerang, mungkin pengguna peranti yang dikompromi dimonitorkan walaupun selepas malware hilang.

Para penyelidik di luar Projek Zero memberitahu Ars bahawa kualiti dan kebolehpercayaan eksploitasi menunjukkan bahawa mereka ditulis oleh pemaju dengan bakat dan pengalaman. IOS adalah salah satu sistem operasi yang paling sukar untuk dikompromikan. Keupayaan untuk menggabungkan eksploitasi bukan awam dengan cara yang "dipasangkan" struktur data yang sangat diperkaya yang dikenali sebagai timbunan dan memintas perlindungan canggih yang lain adalah sangat mengagumkan, terutamanya apabila mempertimbangkan jangka masa dua tahun eksploit secara efektif.

Usaha yang ketara

Kerentanan 14 terdiri daripada tujuh kecacatan dalam pakej Webkit yang digunakan oleh Safari, lima bug dalam kernel iOS, dan dua kekurangan yang melarikan diri dari kotak pasir penyemak imbas yang cuba mengekalkan kod yang tidak dipercayai daripada berinteraksi dengan bahagian sensitif OS. Sekurang-kurangnya satu daripada lima rantaian itu masih menjadi zeroday apabila Projek Zero menemui awal tahun ini. Para penyelidik Google melaporkan kelemahan tersebut kepada Apple pada bulan Februari 1 dengan tamat tempoh tujuh hari untuk Apple menetapkan sebelum Google mendedahkannya kepada umum. Apple bertindak balas dengan kemas kini tidak berjadual enam hari kemudian.

"Rasanya seperti jumlah usaha yang masuk ke eksploitasi adalah sangat penting," kata Charles Holmes, seorang perunding penyelidik utama pengurusan yang memberi tumpuan kepada keselamatan mudah alih di Rakan kongsi Atredis. "Mengekalkan keupayaan dari tiga tahun terakhir iOS dan gabungan peranti perkakasan dan perisian teguh-banyak masa dan usaha masuk ke dalamnya. Usus saya merasakan seperti sesetengah negara di belakang mengekalkan keupayaan itu. "

Sebagai perbandingan, para penyelidik luar cepat menunjukkan a analisis terperinci implan eksploit yang dipasang adalah mentah. Malware tidak cuba untuk menyembunyikan prosesnya. Lebih mengejutkan lagi, ia menggunakan saluran HTTP yang tidak disulitkan untuk menghantar token masuk, imej yang disimpan, dan transkrip mesej yang dihantar melalui Gmail, iMessage, WhatsApp, dan program lain. Komunikasi teks biasa akan menjadikannya mudah untuk mengesan exiltration massa data sensitif oleh orang-orang yang memantau Wi-Fi atau rangkaian perusahaan telefon yang dijangkiti.

Satu lagi perkara yang membuat serangan itu luar biasa adalah bahawa ia menyasarkan setiap peranti iOS yang melawat laman web yang digodam. Penggodam pengintip lanjutan biasanya cuba melindungi kempen mereka dan zerod yang berharga yang mereka eksploitasi dengan menjangkiti hanya individu yang berminat. Dengan menyerang setiap pelayar iOS tanpa pandang bulu, para penggodam dalam kes ini menjadikannya lebih mudah untuk kempen itu menjadi terang.

"Nampaknya penyerang ini mungkin dibiayai dengan baik tetapi tidak semestinya mempunyai banyak pengalaman melakukan operasi spionase siber, atau tidak benar-benar peduli jika mereka tertangkap," Patrick Wardle, penyelidik keselamatan utama di Jamf, sebuah syarikat perisian perusahaan Apple, memberitahu Ars. "Jika saya dapat meneka, satu negara negara dengan satu tan wang keluar dan membeli sekumpulan rantaian mengeksploitasi IOS, mengikat mereka bersama-sama dan bersikap sembarangan mulai menyasarkan mangsa untuk mengintip kumpulan kepentingan."

Walaupun tidak canggih, implan itu menawarkan ciri penuh keupayaan untuk mencuri data daripada peranti yang dijangkiti. Implant ini amat prihatin dengan data lokasi hidup dan dengan pangkalan data untuk aplikasi penyulitan akhir-ke-akhir WhatsApp, Telegram, dan iMessage. Direktori kontena-yang menyimpan data yang digunakan oleh kebanyakan apl iOS, termasuk salinan yang tidak disulitkan mesej yang dihantar dan diterima-telah dimuat naik untuk semua yang berikut:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Penyerang boleh mendapatkan senarai semua aplikasi yang dipasang pada peranti yang dijangkiti dan membuat permintaan ad-hoc untuk memuat turun direktori bekas untuk sebarang aplikasi tertentu yang tidak ada dalam senarai. Penyerang juga boleh mengeluarkan perintah "allapp" yang akan memuat turun direktori bekas untuk semua apl pada peranti. Malware itu memeriksa pelayan yang diserang penyerang setiap saat 60 untuk arahan.

Implan itu juga menghantar penyerang satu salinan lengkap keychain iOS. Rantai kunci itu mengandungi sejumlah besar data yang sangat sensitif, termasuk kelayakan dan sijil yang digunakan untuk log masuk ke perkhidmatan seperti Gmail, Facebook, dan banyak perkhidmatan lain dan SSID dan kata laluan untuk semua titik akses Wi-Fi yang disimpan. Rantai kunci itu juga mengandungi token lama yang digunakan oleh perkhidmatan seperti Google Single-Sign-On iOS untuk membolehkan apl Google mengakses akaun pengguna. Dengan memuat naik data ini, penyerang dapat mengekalkan akses ke akaun Google pengguna walaupun sekali implan tidak lagi berjalan.

Seperti yang dinyatakan sebelum ini, binary implant yang dipasang tidak dapat hidup semula dalam reboot, bermakna peranti akan dibasmi kuman sebaik sahaja ia dimulakan semula. Ia tidak jelas jika kekurangan kegigihan adalah disengajakan atau hasil daripada batasan pemaju. Dalam kedua-dua kes, iPhone boleh pergi beberapa minggu atau lebih lama tanpa reboot. Pada ketika itu, data yang diperolehi mungkin memberi penyerang cara yang lain untuk meneruskan sasaran penyelidikan sasaran.

Serangan ini menggariskan kerosakan yang boleh menyebabkan apabila peranti dikompromi oleh serangan "satu tembakan" yang hanya berlangsung dalam masa yang singkat, kata Will Strafach, pengasas Sudo Security Group dan pakar dalam keselamatan iOS.

"Ketekunan memerlukan eksploitasi tambahan dan membolehkan pengawasan aktif, tetapi meningkatkan kemungkinan pengesanan," katanya. "Serangan tidak berterusan boleh menyebabkan banyak data bersejarah yang mungkin tidak merosakkan, kerana kebanyakan orang (walaupun dengan Isyarat dan WhatsApp) tidak menghapus data secara rutin, kerana mereka mengambil data pada rehat pada peranti mereka supaya selamat. "

Siapapun di Cupertino mendapat fuzzer?

Banyak eksploitasi yang memasang implan adalah hasil kelemahan penyelidik Project Zero berkata mudah untuk menangkap dengan jaminan kualiti standard dan proses pengerasan kod. An rantai eksploit yang disasarkan versi 11 iOS melalui 11.4.1 selama rentang 10-bulan, sebagai contoh, termasuk pelepasan kotak pasir yang merupakan hasil daripada refaksi semula "pengawasan keselamatan yang teruk" yang salah memecahkan cek keselamatan penting untuk mengesahkan mesej dari komunikasi antara proses atau IPC, dalam iOS.

"Sukar untuk memahami bagaimana kesilapan ini dapat diperkenalkan ke dalam perpustakaan teras IPC yang dihantar kepada pengguna akhir," tulis Beer. "Walaupun kesilapan adalah perkara biasa dalam pembangunan perisian, satu perkara yang serius seperti ini sepatutnya dijumpai dengan cepat oleh ujian unit, semakan kod atau bahkan fuzzing. Ia sangat malang kerana lokasi ini secara semulajadi menjadi salah satu yang pertama penyerang akan melihat. "

A rantai eksploit yang berbeza memanfaatkan iOS 12 dan 12.1 sama-sama dieksploitasi kelemahan para penyelidik Project Zero harus ditangkap sebelum pengiriman. Beer wrote:

Itulah bug kernel yang digunakan di sini yang, malangnya, mudah dicari dan mengeksploitasi (jika anda tidak percaya saya, jangan ragu untuk mendapatkan pendapat kedua!). Pemandu peranti IOKit dengan kaedah luaran yang dalam pernyataan yang pertama melakukan memmove tak terbatas dengan hujah panjang yang dikawal terus oleh penyerang:

IOReturn ProvInfoIOKitUserClient :: ucEncryptSUInfo (char * struct_in, char * struct_out) { memmove (& struct_out [4], & struct_in [4], * (uint32_t *) & struct_in [0x7d4]); ...

Kandungan struct_in penampan sepenuhnya dikawal oleh penyerang.

Sama seperti iOS Exploit Chain 3 [disebutkan di atas], nampaknya proses pengujian dan pengesahan sepatutnya telah dikenal pasti rantai eksploit ini.

Mencabar kelangkaan eksploitasi iOS

Bacaan Lanjut

Secara aktif mengeksploitasi kelemahan iOS yang merampas iPhone dipasang oleh AppleKempen berkenaan, kerana ia mencabar pemikiran konvensional bahawa kelemahan iOS dieksploitasi hanya dalam keadaan terhad dan kemudian hanya menentang individu yang sangat bertarget. Harga untuk rantai eksploitasi tunggal biasanya dihargai dalam berjuta-juta dolar, sebahagiannya kerana kekurangan yang dianggap cacat. Keupayaan penyerang untuk mengeksploitasi kerentanan secara berterusan selama dua tahun-dan melakukannya dengan cara yang mudah dilihat oleh orang lain-menunjukkan kedutan baru untuk eksploitasi iOS.

"Untuk melihat penyerang melakukan ini dengan eksploitasi iOS menarik," kata Wardle, pakar keselamatan Apple yang sebelum ini bekerja sebagai penggodam untuk Agensi Keselamatan Negara. "Ia menunjukkan bahawa kumpulan ini tidak mempunyai masalah untuk memperoleh keupayaan ini dan kemungkinan dapat memperoleh lebih banyak jika perlu."

Artikel Asal

Tinggalkan Jawapan Teks

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda *

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.