Spyware su iPhone Sfrutta Vulnerabilità del Chip

Posted on December 29, 2023
Il team di ricerca e analisi globale di Kaspersky (GReAT) ha scoperto una caratteristica hardware oscura nel system-on-a-chip (SoC) di Apple che probabilmente è stata sfruttata in attacchi di spyware contro gli utenti di iPhone. Questa scoperta è stata parte dell’Operazione Triangolazione, una campagna APT attiva dal 2019, che prende di mira i dispositivi iOS utilizzando exploit zero-click tramite iMessage. La campagna consente agli aggressori di prendere il controllo e accedere ai dati degli utenti.

La caratteristica, probabilmente inclusa per il debug o il test da parte degli ingegneri di Apple o accidentalmente aggiunta alla versione consumer, ha permesso agli aggressori di eludere le protezioni e dirottare i dispositivi. Questa vulnerabilità è stata sfruttata in attacchi che prendevano di mira gli iPhone dei dirigenti senior di Kaspersky.

Durante il 37° Congresso di Comunicazione del Caos ad Amburgo, i ricercatori hanno presentato le loro scoperte, spiegando che sono state sfruttate molteplici vulnerabilità zero-day di iOS. Queste includevano un problema RCE nell’istruzione TrueType font ADJUST di Apple (CVE-2023-41990) e un bypass delle protezioni di sicurezza basate su hardware (CVE-2023-38606). Le vulnerabilità prendevano di mira gli iPhone con versioni fino a iOS 16.6, con CVE-2023-38606 che permetteva a uno sfruttamento JavaScript di eludere il Layer di Protezione delle Pagine.

Gli aggressori hanno utilizzato allegati iMessage dannosi per sfruttare un zero-day di esecuzione remota del codice e distribuire il spyware TriangleDB senza interazione dell’utente. La catena di infezione coinvolgeva molteplici controlli e azioni di cancellazione dei log per prevenire l’identificazione del malware. I ricercatori l’hanno definita la catena di attacco più sofisticata che avessero mai visto.

La caratteristica oscura permetteva di sovrascrivere la sicurezza basata su hardware per proteggere il kernel. Gli aggressori sfruttavano i registri MMIO dal coprocessore GPU, eludendo i range di DeviceTree di Apple per scrivere nella memoria, eludere le protezioni e ottenere un RCE.

Apple ha risposto rilasciando aggiornamenti di sicurezza per affrontare quattro vulnerabilità zero-day che impattano vari prodotti Apple. Tuttavia, permangono domande sullo scopo della caratteristica, su come gli aggressori abbiano imparato ad usarla e se sia stata sviluppata da Apple o da un componente di terze parti.

Source: HackRead

Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *