Il team Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una vulnerabilità nel SoC di Apple che ha svolto un ruolo fondamentale nei recenti attacchi agli iPhone noti come Operation Triangulation, che consentono agli aggressori di bypassare la protezione della memoria a livello hardware sugli iPhone che utilizzano versioni di iOS fino alla versione 16.6.

La vulnerabilità scoperta (qui un approfondimento tecnico sugli attacchi) è una funzionalità hardware, probabilmente basata sul principio della “security through oscurity”, e potrebbe essere stata destinata al test o al debug. Dopo l’attacco iniziale a iMessage 0-click e la successiva escalation dei privilegi, gli aggressori hanno sfruttato questa funzione hardware per aggirare le protezioni di sicurezza basate sull’hardware e manipolare il contenuto delle aree di memoria protette. Questo passaggio è stato fondamentale per ottenere il pieno controllo del dispositivo. Apple ha risolto il problema, identificato come CVE-2023-38606.

Secondo Kaspersky, questa caratteristica non è stata documentata pubblicamente, rappresentando una sfida significativa per il suo rilevamento e l’analisi con i metodi di sicurezza convenzionali. I ricercatori del GReAT si sono impegnati in un’approfondita attività di reverse engineering, analizzando meticolosamente l’integrazione hardware e software dell’iPhone, concentrandosi in particolare sugli indirizzi Memory-Mapped I/O, o MMIO, che sono fondamentali per facilitare una comunicazione efficiente tra la CPU e i dispositivi periferici del sistema.

multicloud

Gli indirizzi MMIO sconosciuti, utilizzati dagli aggressori per aggirare la protezione della memoria del kernel basata sull’hardware, non sono stati identificati in nessun intervallo all’interno della struttura dei dispositivi, rappresentando quindi una sfida significativa. Il team ha dovuto anche decifrare l’intricato funzionamento del SoC e la sua interazione con il sistema operativo iOS, soprattutto per quanto riguarda la gestione della memoria e i meccanismi di protezione. Questo processo ha comportato un esame approfondito di vari file dei dispositivi, del codice sorgente, delle immagini del kernel e del firmware, nel tentativo di trovare qualsiasi riferimento a questi indirizzi MMIO.

“Non si tratta di una vulnerabilità ordinaria e, a causa della natura chiusa dell’ecosistema iOS, il processo di scoperta è stato impegnativo e ha richiesto una comprensione completa delle architetture hardware e software. Questa scoperta ci insegna ancora una volta che anche le protezioni avanzate basate sull’hardware possono essere rese inefficaci di fronte a un aggressore sofisticato, in particolare quando esistono caratteristiche hardware che consentono di bypassare queste protezioni” ha commentato Boris Larin, Principal Security Researcher del GReAT di Kaspersky.

Operation Triangulation è una campagna di Advanced Persistent Threat (APT) scoperta da Kaspersky all’inizio dell’estate che colpisce i dispositivi iOS. Utilizza exploit 0-click distribuiti tramite iMessage, consentendo agli aggressori di ottenere il controllo completo del dispositivo preso di mira e di accedere ai dati dell’utente. Apple ha rilasciato aggiornamenti di sicurezza per risolvere quattro vulnerabilità zero-day identificate dai ricercatori di Kaspersky: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990. Queste vulnerabilità hanno un impatto su un’ampia gamma di prodotti Apple, tra cui iPhone, iPod, iPad, dispositivi MacOS, Apple TV e Apple Watch. Kaspersky ha inoltre informato Apple dello sfruttamento della dotazione hardware, contribuendo alla risoluzione del problema da parte dell’azienda.