Tyrėjai trečiadienį pristatė įdomių naujų atradimų, susijusių su ketverius metus trukusia ataka, kurios metu buvo pažeista dešimtys, jei ne tūkstančiai „iPhone“, kurių daugelis priklausė Maskvoje įsikūrusios saugos įmonės „Kaspersky“ darbuotojams. Tarp svarbiausių atradimų: Anoniminiai užpuolikai sugebėjo pasiekti precedento neturintį prieigos lygį, pasinaudodami neautentifikuotos aparatinės įrangos pažeidžiamumu, apie kurį žinojo tik nedaugelis, jei ne niekas, už Apple ir lustų tiekėjų, tokių kaip ARM Holdings.

„Išnaudojimo sudėtingumas ir funkcijos dviprasmiškumas rodo, kad užpuolikai turi pažangių techninių galimybių“, – elektroniniame laiške rašė „Kaspersky“ tyrėjas Borisas Larinas. „Mūsų analizė neatskleidė, kaip jie sužinojo apie šią funkciją, bet mes tiriame visas galimybes, įskaitant atsitiktinį atskleidimą ankstesnėse programinės aparatinės įrangos arba šaltinio kodo versijose. Jie taip pat galėjo ją rasti naudodami įrenginių atvirkštinę inžineriją.”

Jau daugelį metų buvo išnaudojamos keturios nulio dienos

Kiti klausimai lieka neatsakyti, net po beveik 12 mėnesių intensyvaus tyrimo, rašė Larraín. Be to, kaip užpuolikai išmoksta aparatinės įrangos funkciją, mokslininkai vis dar nežino tikslaus jos tikslo. Taip pat nežinoma, ar ši funkcija yra originali „iPhone“ dalis, ar ją įgalina trečiosios šalies aparatinės įrangos komponentas, pvz., ARM „CoreSight“.

Pasak Rusijos vyriausybės pareigūnų, masinė užpakalinių durų kampanija, kuri, pasak Rusijos pareigūnų, taip pat užkrėtė tūkstančių žmonių, dirbančių diplomatinėse atstovybėse ir ambasadose Rusijoje, iPhone telefonus. „Kaspersky“ teigė, kad mažiausiai ketverius metus užkratai buvo perduodami naudojant „iMessage“ scenarijus, kurie įdiegė kenkėjiškas programas per sudėtingą išnaudojimo grandinę, nereikalaujant gavėjo imtis jokių veiksmų.

Dėl to įrenginiai yra užkrėsti visas funkcijas turinčiomis šnipinėjimo programomis, kurios, be kita ko, perduoda mikrofono įrašus, nuotraukas, geografinę vietą ir kitus jautrius duomenis į užpuoliko valdomus serverius. Nors infekcijos neišgyveno po perkrovimo, nežinomi užpuolikai išlaikė savo kampaniją tiesiog išsiųsdami naują kenksmingą tekstinį pranešimą į įrenginius netrukus po to, kai įrenginiai buvo paleisti iš naujo.

Trečiadienį atskleistas naujas detalių rinkinys sako, kad „Trianguliacija“ – „Kaspersky“ pavadinimą suteikė ir kenkėjiškai programai, ir ją įdiegusiai kampanijai – išnaudojo keturis kritinius nulinės dienos pažeidžiamumus, o tai reiškia rimtus programinės įrangos trūkumus, kurie buvo žinomi užpuolikams anksčiau. . Į Apple. Nuo tada bendrovė pataisė visus keturis pažeidžiamumus, kurie stebimi taip:

Šios svarbios nulinės dienos ir slaptos aparatinės įrangos funkcijos buvo ne tik veikiančios „iPhone“, bet ir „Mac“, „iPod“, „iPad“, „Apple TV“ ir „Apple Watches“. Be to, „Kaspersky“ atkurtos spragos buvo sąmoningai sukurtos, kad veiktų ir šiuose įrenginiuose. „Apple“ taip pat pataisė šias platformas.

Aptikti infekciją labai sunku, net ir žmonėms, turintiems pažangios teismo medicinos patirties. Tiems, kurie nori išbandyti, yra interneto adresų, failų ir kitų kompromiso rodiklių sąrašas čia.

Paslaptinga „iPhone“ funkcija buvo labai svarbi trianguliacijos sėkmei

Įdomiausia nauja detalė – taikymasis į iki šiol nežinomą aparatinės įrangos funkciją, kuri pasirodė esąs trianguliacijos kampanijos veiksnys. Nulinė šios funkcijos diena leido užpuolikams apeiti pareiškėjus Aparatinė atminties apsauga Sukurta apsaugoti įrenginio sistemos vientisumą net po to, kai užpuolikas įgyja galimybę sugadinti pagrindinio branduolio atmintį. Daugumoje kitų platformų, kai užpuolikai sėkmingai išnaudoja branduolio pažeidžiamumą, jie gali visiškai valdyti pažeistą sistemą.

„Apple“ įrenginiuose su šia apsauga šie užpuolikai vis tiek negali atlikti pagrindinių po išnaudojimo technikų, pvz., įterpti kenkėjiško kodo į kitus procesus arba modifikuoti branduolio kodą arba jautrius branduolio duomenis. Ši stipri apsauga buvo apeinama išnaudojant slaptosios funkcijos pažeidžiamumą. Apsauga, kuri iki šiol buvo retai įveikiama dėl aptiktų pažeidžiamumų, yra ir „Apple“ M1 ir M2 procesoriuose.

Kaspersky tyrėjai nežinojo slaptųjų įrenginių funkcijos tik po kelių mėnesių intensyvios Triad virusu užkrėstų įrenginių atvirkštinės inžinerijos. Kurso metu tyrėjų dėmesys buvo atkreiptas į vadinamuosius aparatūros registrus, kurie suteikia centrinių procesorių (CPU) atminties adresus, kad jie galėtų sąveikauti su periferiniais komponentais, tokiais kaip USB, atminties valdikliai ir grafikos apdorojimo įrenginiai. MMIO, sutrumpintai iš atminties susietos įvesties / išvesties, leidžia CPU rašyti į konkretų konkretaus išorinio įrenginio aparatinės įrangos registrą.

Tyrėjai nustatė, kad daugelis MMIO adresų, kuriuos užpuolikai naudojo apeiti atminties apsaugą, nebuvo atpažinti Įrenginio medžio dokumentacija, kuris naudojamas kaip nuoroda inžinieriams, kuriantiems „iPhone“ aparatinę ar programinę įrangą. Net po to, kai mokslininkai išsamiau ištyrė šaltinio kodus, branduolio vaizdus ir programinę įrangą, jie negalėjo rasti jokio paminėjimo apie MMIO adresus.