L’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a révélé une fonctionnalité matérielle cachée dans les iPhones d’Apple, cruciale pour la campagne Opération Triangulation. L’équipe a partagé cette découverte lors du 37e Chaos Communication Congress à Hambourg.
L’équipe GReAT de Kaspersky a découvert une vulnérabilité dans le système sur puce d’Apple, ou SoC, qui a permis aux récentes attaques sur iPhone, connues sous le nom d’Opération Triangulation, de contourner la protection matérielle de la mémoire sur les iPhone exécutant des versions iOS jusqu’à iOS 16.6.
La vulnérabilité est une fonctionnalité matérielle, éventuellement destinée aux tests ou au débogage, basée sur la « sécurité par l’obscurité ». Après l’attaque iMessage initiale en 0 clic et l’élévation des privilèges, les attaquants ont utilisé cette fonctionnalité pour contourner la sécurité matérielle et modifier les régions de mémoire protégées. C’était essentiel pour obtenir un contrôle total sur l’appareil. Apple a résolu le problème, étiqueté CVE-2023-38606.
Kaspersky a déclaré que cette fonctionnalité n’était pas publique, ce qui la rendait difficile à détecter et à analyser avec les méthodes de sécurité habituelles. Les chercheurs de GReAT ont procédé à une ingénierie inverse approfondie, analysant soigneusement le matériel et les logiciels de l’iPhone, en particulier les adresses d’E/S mappées en mémoire, ou MMIO, qui sont importantes pour la communication entre le processeur et les autres périphériques du système. Les adresses MMIO inconnues, utilisées par les attaquants pour contourner la protection matérielle de la mémoire du noyau, ne figuraient dans aucune plage d’arborescence de périphériques, ce qui rendait la tâche plus difficile. L’équipe a également dû comprendre le fonctionnement complexe du SoC et son interaction avec iOS, notamment en matière de gestion et de protection de la mémoire. Cela impliquait d’examiner divers fichiers d’arborescence de périphériques, codes sources, images du noyau et micrologiciels, pour trouver toute référence à ces adresses MMIO.
« Ce n’est pas une vulnérabilité normale. L’écosystème iOS est fermé, la découverte a donc été difficile et longue, nécessitant une compréhension approfondie du matériel et des logiciels. Cette découverte nous montre une fois de plus que même les protections matérielles avancées peuvent s’avérer inefficaces contre un attaquant sophistiqué, en particulier lorsque des fonctionnalités matérielles peuvent les contourner », déclare Boris Larin, chercheur principal en sécurité au GReAT de Kaspersky.
« Operation Triangulation » est une campagne Advanced Persistent Threat (APT) ciblant les appareils iOS, découverte par Kaspersky plus tôt cet été. Cette campagne complexe utilise des exploits sans clic via iMessage, permettant aux attaquants de s’emparer de l’appareil et d’accéder aux données des utilisateurs. Apple a publié des mises à jour de sécurité pour corriger quatre vulnérabilités Zero Day découvertes par les chercheurs de Kaspersky : CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 et CVE-2023-41990. Celles-ci affectent de nombreux produits Apple, notamment les iPhones, iPods, iPads, appareils macOS, Apple TV et Apple Watch. Kaspersky a également informé Apple de l’exploitation des fonctionnalités matérielles, ce qui a conduit à son atténuation par l’entreprise.
2023-12-31 14:15:13
1704023238
#Kaspersky #révèle #fonctionnalité #matérielle #liPhone #utilisée #dans #lOpération #Triangulation
