Ερευνητές παρουσίασαν στοιχεία που δείχνουν ότι σε διάστημα τεσσάρων ετών χιλιάδες συσκευές iPhone δέχθηκαν επίθεση από spyware. Τα iPhone αυτά ανήκαν σε υπαλλήλους της εταιρείας ασφαλείας Kaspersky στη Μόσχα. Οι επιτιθέμενοι κατάφεραν να αποκτήσουν ένα επίπεδο πρόσβασης που δεν είχε παρατηρηθεί ποτέ πριν και όλα έγιναν με την εκμετάλλευση μιας ευπάθειας σε ένα χαρακτηριστικό υλικού που δεν γνώριζαν πολλοί εκτός της Apple και της εταιρείας σχεδιασμού ημιαγωγών Arm Holdings.
Δεν είναι γνωστό πώς οι επιτιθέμενοι έμαθαν για αυτό το χαρακτηριστικό υλικού, ούτε οι ερευνητές έχουν ιδέα ποιο σκοπό είχε. Επίσης, είναι άγνωστο αν το υλικό ήταν εγγενές τμήμα του iPhone ή αν ενεργοποιήθηκε από ένα στοιχείο τρίτου μέρους, όπως το CoreSight της Arm. Εκτός από τη μόλυνση μονάδων iPhone που ανήκαν σε υπαλλήλους της Kaspersky, το spyware επηρέασε επίσης τα iPhone που χρησιμοποιούσαν χιλιάδες άτομα που εργάζονταν σε πρεσβείες και διπλωματικές αποστολές στη Ρωσία.
Πώς διαδόθηκε το spyware για να στοχεύσει iPhone; Στάλθηκε μέσω μηνυμάτων του iMessage χρησιμοποιώντας μια διαδικασία που δεν απαιτούσε από το θύμα να προβεί σε καμία ενέργεια. Μόλις μολύνθηκαν, τα iPhone μετέδιδαν εγγραφές μικροφώνου, φωτογραφίες, δεδομένα γεωγραφικού εντοπισμού, και άλλες ευαίσθητες πληροφορίες, σε διακομιστές που ελέγχονταν από τους επιτιθέμενους. Αν και η επανεκκίνηση ενός iPhone απάλλασσε τη συσκευή από τη μόλυνση, οι επιτιθέμενοι έστελναν ένα νέο κείμενο φορτωμένο με spyware στην ίδια συσκευή και την μόλυναν εκ νέου κάθε φορά που γινόταν επανεκκίνηση.
Ο ερευνητής της Kaspersky Boris Larin αναφέρει ότι η πολυπλοκότητα του exploit και η αφάνεια της λειτουργίας υποδηλώνουν ότι οι επιτιθέμενοι είχαν προηγμένες τεχνικές δυνατότητες. Η ανάλυσή δεν αποκάλυψε πώς έλαβαν γνώση αυτού του χαρακτηριστικού, αλλά η εταιρεία ερευνά όλες τις πιθανότητες, συμπεριλαμβανομένης της τυχαίας αποκάλυψης σε προηγούμενες εκδόσεις υλικολογισμικού ή πηγαίου κώδικα. Μπορεί επίσης οι επιτιθέμενοι να το ανακάλυψαν μέσω αντίστροφης μηχανικής υλικού.
Το spyware και η καμπάνια που οδήγησε στην εγκατάστασή του ονομάστηκαν και τα δύο “Triangulation” και περιείχαν τέσσερις 0-day ευπάθειες, πράγμα που σημαίνει ότι οι επιτιθέμενοι γνώριζαν για αυτές τις ευπάθειες πριν από την Apple. Η Apple έχει έκτοτε επιδιορθώσει τα ελαττώματα τα οποία καταγράφηκαν ως CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, και CVE-2023-41990.
Το προαναφερθέν μυστικό υλικό στη ρίζα αυτού του προβλήματος και οι τέσσερις 0-day ευπάθειες δεν επηρέασαν μόνο τα iPhone, αλλά και iPads, iPods, Mac, τηλεοράσεις Apple, και ρολόγια Apple. Η αμερικανική εταιρεία επιδιόρθωσε τις ευπάθειες σε όλες τις προαναφερθείσες συσκευές.
Σε δελτίο τύπου, ο Larin της Kaspersky πρόσθεσε ότι αυτή δεν είναι μια συνηθισμένη ευπάθεια. Λόγω της κλειστής φύσης του οικοσυστήματος του iOS, η διαδικασία ανακάλυψης ήταν τόσο δύσκολη όσο και χρονοβόρα, απαιτώντας μια ολοκληρωμένη κατανόηση των αρχιτεκτονικών τόσο του υλικού όσο και του λογισμικού.
Αυτό που διδάσκει για άλλη μια φορά αυτή η ανακάλυψη είναι ότι ακόμα και οι προηγμένες προστασίες που βασίζονται στο υλικό μπορούν να καταστούν αναποτελεσματικές απέναντι σε έναν εξελιγμένο επιτιθέμενο, ιδιαίτερα όταν υπάρχουν χαρακτηριστικά υλικού που επιτρέπουν την παράκαμψη αυτών των προστασιών.
Όσον αφορά το ποιος βρίσκεται πίσω από την επίθεση, ορισμένοι κατηγορούν την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA). Η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας λέει ότι η επίθεση προήλθε από την NSA που συνεργαζόταν με την Apple, αν και η Kaspersky δήλωσε ότι δεν έχει αποδείξεις ότι εμπλέκονται και οι δύο.
Πηγή: ArsTechnica.com