Skip to content Skip to footer

Kaspersky: una caratteristica hardware dell’iPhone fondamentale per il caso Operation Triangulation

Il team di Kaspersky ha presentato questa scoperta al 37° Chaos Communication Congress di Amburgo. Kaspersky ha scoperto una vulnerabilità nel System on a chip, o SoC, di Apple che ha svolto un ruolo fondamentale nei recenti attacchi agli iPhone, noti come Operation Triangulation, che consente agli aggressori di bypassare la protezione della memoria a livello hardware sugli iphone che utilizzano versioni di ios fino a ios 16.6.

La vulnerabilità scoperta è una funzionalità hardware, probabilmente basata sul principio della “security through oscurity”, e potrebbe essere stata destinata al test o al debug. Dopo l’attacco iniziale a iMessage 0-click e la successiva escalation dei privilegi, gli aggressori hanno sfruttato questa funzione hardware per aggirare le protezioni di sicurezza basate sull’hardware e manipolare il contenuto delle aree di memoria protette. Questo passaggio è stato fondamentale per ottenere il pieno controllo del dispositivo. Apple ha risolto il problema, identificato come Cve-2023-38606.

Secondo Kaspersky, questa caratteristica non è stata documentata pubblicamente, rappresentando una sfida significativa per il suo rilevamento e l’analisi con i metodi di sicurezza convenzionali. I ricercatori del Great si sono impegnati in un’approfondita attività di reverse engineering, analizzando meticolosamente l’integrazione hardware e software dell’iPhone, concentrandosi in particolare sugli indirizzi Memory-Mapped I/O, o Mmio, che sono fondamentali per facilitare una comunicazione efficiente tra la Cpu e i dispositivi periferici del sistema. Gli indirizzi Mmio sconosciuti, utilizzati dagli aggressori per aggirare la protezione della memoria del kernel basata sull’hardware, non sono stati identificati in nessun intervallo all’interno della struttura dei dispositivi, rappresentando una sfida significativa. Il team ha dovuto anche decifrare l’intricato funzionamento del SoC e la sua interazione con il sistema operativo iOS, soprattutto per quanto riguarda la gestione della memoria e i meccanismi di protezione. Questo processo ha comportato un esame approfondito di vari file dei dispositivi, del codice sorgente, delle immagini del kernel e del firmware, nel tentativo di trovare qualsiasi riferimento a questi indirizzi Mmio.

“Non si tratta di una vulnerabilità ordinaria e, a causa della natura chiusa dell’ecosistema ios, il processo di scoperta è stato impegnativo e ha richiesto una comprensione completa delle architetture hardware e software. Questa scoperta ci insegna ancora una volta che anche le protezioni avanzate basate sull’hardware possono essere rese inefficaci di fronte a un aggressore sofisticato, in particolare quando esistono caratteristiche hardware che consentono di bypassare queste protezioni”, ha commentato Boris Larin, Principal Security Researcher del Great di Kaspersky.

“Operation triangulation” è una campagna di advanced persistent threat (apt) che colpisce i dispositivi ios scoperta da Kaspersky all’inizio dell’estate. Questa sofisticata campagna utilizza exploit 0-click distribuiti tramite iMessage, consentendo agli aggressori di ottenere il controllo completo del dispositivo preso di mira e di accedere ai dati dell’utente. Apple ha rilasciato aggiornamenti di sicurezza per risolvere quattro vulnerabilità zero-day identificate dai ricercatori di Kaspersky: Cve-2023-32434, Cve-2023-32435, CVE-2023-38606 e Cve-2023-41990. Queste vulnerabilità hanno un impatto su un’ampia gamma di prodotti Apple, tra cui iPhone, iPod, iPad, dispositivi Macos, Apple Tv e Apple Watch. Kaspersky ha inoltre informato Apple dello sfruttamento della dotazione hardware, contribuendo alla risoluzione del problema da parte dell’azienda.

Per ulteriori informazioni sull’Operation Triangulation e sui dettagli tecnici dell’analisi, è possibile consultare il report su Securelist.com.

Show CommentsClose Comments

Leave a comment

Potrebbe interessarti anche...