Tính năng này, có thể được bao gồm cho việc gỡ lỗi hoặc thử nghiệm bởi các kỹ sư của Apple hoặc được thêm vào phiên bản dành cho người tiêu dùng một cách nhầm lẫn, đã cho phép kẻ tấn công vượt qua các biện pháp bảo vệ và chiếm quyền điều khiển thiết bị. Lỗ hổng này đã được khai thác trong các cuộc tấn công nhắm vào iPhone của các nhân viên cấp cao của Kaspersky.
Tại Hội nghị Giao tiếp Chaos lần thứ 37 tại Hamburg, các nhà nghiên cứu đã trình bày phát hiện của họ, giải thích rằng nhiều lỗ hổng zero-day của iOS đã được khai thác. Điều này bao gồm một vấn đề RCE trong hướng dẫn TrueType font ADJUST của Apple (CVE-2023-41990) và một cách vượt qua các biện pháp bảo vệ an ninh dựa trên phần cứng (CVE-2023-38606). Các lỗ hổng nhắm vào iPhone chạy lên đến iOS 16.6, với CVE-2023-38606 cho phép một lỗ hổng JavaScript vượt qua Lớp Bảo vệ Trang.
Các kẻ tấn công đã sử dụng các tệp đính kèm iMessage độc hại để khai thác một lỗ hổng zero-day thực thi mã từ xa và triển khai phần mềm gián điệp TriangleDB mà không cần tương tác người dùng. Chuỗi lây nhiễm bao gồm nhiều kiểm tra và hành động xóa nhật ký để ngăn chặn việc xác định phần mềm độc hại. Các nhà nghiên cứu gọi đó là chuỗi tấn công phức tạp nhất mà họ từng chứng kiến.
Tính năng mờ ám này cho phép vượt qua bảo mật dựa trên phần cứng để bảo vệ kernel. Các kẻ tấn công đã khai thác các thanh ghi MMIO từ coprocessor GPU, vượt qua các phạm vi DeviceTree của Apple để ghi vào bộ nhớ, vượt qua các biện pháp bảo vệ và đạt được RCE.
Apple đã phản hồi bằng cách phát hành các bản cập nhật bảo mật để giải quyết bốn lỗ hổng zero-day ảnh hưởng đến nhiều sản phẩm của Apple. Tuy nhiên, vẫn còn những câu hỏi về mục đích của tính năng này, cách các kẻ tấn công học cách sử dụng nó và liệu nó có được phát triển bởi Apple hay một thành phần của bên thứ ba.
Source: HackRead
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.