2019 yılından bu yana iPhone cihazlarını hedefleyen işlem üçgenleme casus yazılım saldırıları, donanım tabanlı güvenlik korumalarını atlamak için Apple cipslerinde belgelenmemiş özelliklerden yararlandı.
Bu bulgu, geçen yıl karmaşık saldırı zincirini tersine çeviren Kaspersky analistlerinden geliyor ve Haziran 2023'te keşfettikleri kampanyayı destekleyen tüm ayrıntıları ortaya çıkarmaya çalışan.
Belirsiz donanımların keşfi ve kullanımı, iPhone kullanıcılarına karşı casus yazılım saldırıları başlatmak için hata ayıklama ve fabrika testi için ayrılmış muhtemel özellikler, sofistike bir tehdit oyuncunun kampanyayı yürüttüğünü öne sürüyor.
Dahası, müstehcenlik yoluyla güvenliğe güvenmenin ve donanım tasarımının veya donanım testi uygulamasının gizliliğinin yanlış bir öncül olduğunu mükemmel bir örnek oluşturur.
Operasyon Üçgenleme, dört sıfır günlük güvenlik açığı kullanan Apple iPhone cihazlarını hedefleyen bir casus yazılım kampanyasıdır. Bu güvenlik açıkları, saldırganların ayrıcalıkları yükseltmesini ve uzaktan kod yürütmesini gerçekleştirmesini sağlayan sıfır tıkaç istismarı oluşturmak için birlikte zincirlenir.
Son derece sofistike istismar zincirini oluşturan ve iOS 16.2'ye kadar olan tüm iOS sürümlerinde çalışan dört kusur şunlardır:
Saldırılar, hedefe gönderilen kötü niyetli bir iMessage eki ile başlarken, tüm zincir sıfır tutulur, yani kullanıcıdan etkileşim gerektirmez ve belirgin bir işaret veya iz oluşturmaz.
Kaspersky saldırıyı kendi ağındaki keşfetti ve Rusya İstihbarat Servisi (FSB), Apple'ı hemen NSA'ya Rus hükümetine ve elçilik personeline karşı bir arka kapı sağlamakla suçladı.
Şimdiye kadar, saldırıların kökeni bilinmemektedir ve bu iddiaların kanıtı yoktur.
Apple, 21 Haziran 2023'te tanınan iki sıfır günlük kusuru (CVE-2023-32434 ve CVE-2023-32435), iOS/iPados 16.5.1 ve iOS/iPados 15.7.7'nin yayınlanmasıyla düzeltti.
Yukarıdaki kusurlardan, 24 Temmuz 2023'te ele alınan CVE-2023-38606, iOS/iPados 16.6'nın piyasaya sürülmesiyle, Kaspersky'nin analistleri için en ilgi çekici olanıdır.
Kusurdan yararlanmak, bir saldırganın, ayrı CVE-2023-32434 kusuru kullanılarak elde edilen çekirdek belleğine okuma ve yazma erişimini elde ettiklerinde saldırganların cihaz üzerinde tam kontrol almasını önleyen elma yongaları üzerinde donanım koruması atmasına izin verir.
Derin dalış teknik yazısında Kaspersky, CVE-2023-38606'nın, muhtemelen Chip'in GPU ortak işleyicisine bağlı olan Apple A12-A16 biyonik işlemcilerindeki bilinmeyen MMIO (bellek eşlemeli I/O) kayıtlarını hedeflediğini açıklıyor. DeviceTree'de.
İşlem üçgenleme, bu kayıtları, donanım özelliklerini değiştirmek ve saldırı sırasında doğrudan bellek erişimini kontrol etmek için kullanır.
"Bu özelliği ve saldırganların bundan nasıl faydalandığını açıklamaya çalışırsak, her şey buna gelir: Verileri yazarak donanım tabanlı bellek korumasını atlarken belirli bir fiziksel adrese veri yazabilirler. ve veri yazılımı tarafından kullanılmayan çipin bilinmeyen donanım kayıtlarına karşı veriler. "
Kaspersky, iPhone'un bitmiş tüketici sürümüne bu belgesiz donanım özelliğinin dahil edilmesinin ya bir hata olduğunu ya da Apple mühendislerine hata ayıklama ve test konusunda yardımcı olmak için bırakıldığını varsayar.
Apple, fiziksel adres eşlemesini kısıtlamak için cihaz ağacını güncelleyerek kusuru düzeltti.
Bununla birlikte, saldırganların ilk etapta böyle belirsiz bir sömürülebilir mekanizma hakkında nasıl bilgi edindikleri bilinmemektedir.
Apple, acil durum güncellemelerinde iki yeni iOS sıfır gününü düzeltir
Apple Acil Durum Güncellemeleri Eski iPhone'larda son sıfır günleri düzeltin
Sahte F5 Big-IP Zero Gün Uyarı E-postaları Veri Silinicileri İttirin
Microsoft Aralık 2023 Patch Salı 34 Kusur, 1 Sıfır Gün
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Kaynak: Bleeping Computer