Anyar-anyar ieu, téknologi urang mendakan serangan APT énggal dina iPhone. Serangan éta bagian tina kampanye anu ditujukeun, antara séjén, pikeun pagawé Kaspersky. Panyerang anu teu dipikanyaho ngagunakeun kerentanan kernel ios pikeun nyebarkeun implan spyware anu disebat TriangleDB dina mémori alat. Ahli kami geus bisa nalungtik susuk ieu tuntas.
Naon anu tiasa dilakukeun ku implan TriangleDB?
Diajar ngeunaan susuk ieu sanés tugas anu gampang, sabab ngan ukur tiasa dianggo dina mémori telepon — teu nyésakeun ngambah dina sistem. Ieu ngandung harti yén reboot lengkep ngaleungitkeun sagala ngambah serangan, sarta malware ngabogaan timer otomatis otomatis nu ngaktifkeun otomatis 30 poé sanggeus inféksi awal (lamun operator megatkeun teu ngirim paréntah pikeun manjangkeun uptime na). Fungsi dasar tina implant ngawengku fitur di handap ieu:
manipulasi file (nyieun, modifikasi, ngahapus sareng exfiltration);
manipulasi kalayan prosés ngajalankeun (meunang daptar sareng maéhanana);
exfiltration elemen keychain ios – nu bisa ngandung sertipikat, idéntitas digital, jeung/atawa credentials pikeun sagala rupa layanan;
pangiriman data geolocation – kaasup koordinat, élévasi, sarta speed sarta arah gerak.
Salaku tambahan, implant tiasa ngamuat modul tambahan kana mémori telepon sareng ngajalankeunana. Upami anjeun resep kana detil téknis tina susuk, anjeun tiasa mendakanana dina tulisan dina blog Securelist (ditujukeun pikeun ahli cybersecurity).
Serangan APT dina alat sélulér
Anyar-anyar ieu, target utama serangan APT sacara umum nyaéta komputer pribadi tradisional. Nanging, alat sélulér modern ayeuna tiasa dibandingkeun sareng PC kantor dina hal kinerja sareng fungsionalitas. Éta dianggo pikeun berinteraksi sareng inpormasi kritis bisnis, nyimpen rahasia pribadi sareng bisnis, sareng tiasa janten konci aksés kana jasa anu aya hubunganana. Ku alatan éta, grup APT geus nempatkeun usaha leuwih kana ngarancang serangan on sistem operasi mobile.
Tangtosna, Triangulasi sanés serangan anu munggaran pikeun alat ios. Sarerea apal kasus kawentar (jeung, hanjakalna, masih lumangsung) spyware komérsial Pegasus. Aya ogé conto anu sanés, sapertos Insomnia, Predator, Reign, jsb. Salaku tambahan, teu heran grup APT ogé resep kana OS Android. Teu lami pisan, toko warta nyerat ngeunaan serangan ku grup APT “Suku Transparan”, anu nganggo backdoor CapraRAT ngalawan pangguna India sareng Pakistan tina sistem ieu. Sarta dina kuartal katilu taun ka tukang, urang manggihan spyware saméméhna kanyahoan targeting pamaké diomongkeun Farsi.
Sadaya ieu nunjukkeun yén pikeun ngajagi perusahaan tina serangan APT dinten ayeuna, penting pikeun mastikeun kaamanan henteu ngan ukur alat stasioner – server sareng stasiun kerja – tapi ogé alat sélulér anu dianggo dina prosés kerja.
Kumaha carana ningkatkeun Chances anjeun ngalawan serangan APT on mobile
Lepat upami nganggap yén téknologi panyalindungan standar anu disayogikeun ku produsén alat cekap pikeun ngajagi alat sélulér. Kasus Triangulasi Operasi jelas nunjukkeun yén bahkan téknologi Apple henteu sampurna. Ku alatan éta, kami nyarankeun yén usaha salawasna ngagunakeun sistem panyalindungan multi-tingkat, nu ngawengku parabot basajan nu ngaktipkeun kadali alat mobile, tambah sistem nu bisa ngawas interaksi jaringan maranéhanana.
Garis pertahanan kahiji kedah janten solusi kelas MDM. Kaamanan Titik Akhir kami pikeun Seluler, nyayogikeun manajemén kaamanan alat sélulér terpusat via Kaspersky Security Center, konsol administrasi kami. Salaku tambahan, solusi kami nyayogikeun panyalindungan ngalawan phishing, ancaman wéb, sareng malware (ngan pikeun Android; hanjakalna, Apple henteu ngijinkeun solusi antipirus pihak katilu).
Sacara khusus, éta ngagunakeun téknologi Cloud ML pikeun Android pikeun ngadeteksi malware anu aya hubunganana sareng Android. Téknologi ieu, anu dianggo dina awan KSN, dumasar kana metode pembelajaran mesin. Modelna, dilatih dina jutaan conto malware Android anu dipikanyaho, ngadeteksi malware anu teu dipikanyaho sateuacanna kalayan akurasi anu luhur.
Tapi, aktor ancaman beuki ngagunakeun platform mobile dina serangan sasaran canggih. Ku alatan éta, masuk akal pikeun nyebarkeun sistem anu tiasa ngawas kagiatan jaringan – naha éta inpormasi kaamanan sareng manajemén acara (SIEM) atanapi alat-alat sanés anu tiasa nguatkeun para ahli anjeun pikeun nungkulan insiden cybersecurity rumit kalayan deteksi sareng réspon anu ditambah sareng teu aya tandingan, sapertos Kaspersky kami. Platform Serangan Anti Sasaran.
Triangulasi Operasi anu disebatkeun di luhur kapanggih ku para ahli urang nalika ngawaskeun jaringan Wi-Fi perusahaan nganggo sistem SIEM urang sorangan Kaspersky Unified Monitoring and Analysis Platform (KUMA). Salaku tambahan, solusi Ancaman Ancaman urang tiasa nyayogikeun sistem kaamanan sareng para ahli inpormasi anu énggal ngeunaan ancaman énggal, ogé ngeunaan téknik, taktik sareng prosedur panyerang.
Hai sadayana, Dinten ieu – sababaraha warta cybersecurity ngeunaan hiji kajadian anu urang nembé mendakan…
Ahli kami parantos mendakan serangan siber anu kompleks pisan sareng sasaran profésional nganggo alat sélulér Apple. Tujuan tina serangan éta nyaéta panempatan spyware anu teu jelas kana iPhone karyawan sahenteuna perusahaan urang – boh manajemén tengah sareng luhur.
Serangan éta dilaksanakeun nganggo iMessage anu teu katingali sareng kantétan jahat, anu ngagunakeun sababaraha kerentanan dina sistem operasi ios, dijalankeun dina alat sareng dipasang spyware. Panyebaran spyware lengkep disumputkeun sareng henteu peryogi tindakan ti pangguna. spyware lajeng surreptitiously ngirim inpo pribadi ka server jauh: rekaman mikropon, poto ti talatah instan, geolocations, sarta data ngeunaan sababaraha kagiatan sejenna nu boga alat nu kainféksi.
Sanajan serangan éta dipigawé cicingeun, inféksi dideteksi ku Kaspersky’s Integrated Monitoring and Analysis Platform (KUMA) – solusi SIEM aslina keur informasi kaamanan sarta manajemén acara; Sistem ngadeteksi anomali dina jaringan urang anu asalna tina alat Apple. Panaliti salajengna ku tim kami ngungkabkeun yén sababaraha belasan iPhones karyawan senior katépaan ku spyware énggal anu canggih anu kami namina “Triangulasi”.
Kusabab sifat katutup tina ios, teu aya (sareng teu kedah) alat sistem operasi standar pikeun ngadeteksi sareng ngahapus spyware ieu dina smartphone anu kainféksi. Jang ngalampahkeun ieu, hiji alat éksternal diperlukeun.
Indikasi teu langsung tina Triangulasi dina alat nganonaktipkeun kamampuan pikeun ngapdet ios. Pikeun pangakuan anu langkung akurat sareng dipercaya tina inféksi anu saleresna, anjeun kedah nyiptakeun salinan cadangan alat teras parios deui nganggo utilitas khusus. Rekomendasi anu langkung lengkep dijelaskeun dina tulisan téknis ieu ngeunaan Securelist. Kami ogé ngembangkeun utilitas deteksi gratis sareng bakal sayogi saatos tés.
Alatan peculiarities tangtu alamiah dina blocking apdet ios dina alat kainféksi, urang teu kapanggih cara éféktif pikeun miceun spyware tanpa kaleungitan data pamaké. Éta ngan ukur tiasa dilakukeun ku ngareset iPhone anu kainféksi kana setélan pabrik sareng masang versi panganyarna tina sistem operasi sareng sakumna lingkungan pangguna ti mimiti. Upami teu kitu, sanajan spyware dicabut tina mémori alat sanggeus reboot a, Triangulation masih bisa reinfect eta via vulnerabilities dina versi heubeul tina ios.
Laporan kami ngeunaan Triangulasi ngan ukur awal panalungtikan ngeunaan serangan canggih ieu. Dinten ieu kami nyebarkeun hasil analisa munggaran, tapi masih seueur padamelan anu kedah dilakukeun. Salaku kajadian terus ditalungtik, urang bakal ngamutahirkeun data anyar dina pos dedicated on Securelist, sarta baris babagi papanggihan lengkep urang dina Summit analis Kaamanan Internasional dina Oktober (tuturkeun warta dina situs).
Kami yakin Kaspersky sanes udagan utama serangan cyber ieu. Poé-poé anu bakal datang bakal langkung jelas sareng langkung rinci ngeunaan proliferasi spyware ieu di sakumna dunya.
Kami yakin yén alesan utama pikeun kajadian ieu nyaéta sifat proprietary ios. Sistem operasi mangrupikeun “kotak hideung”, dimana spyware sapertos Triangulation tiasa nyumput salami mangtaun-taun. Ngadeteksi sareng nganalisa ancaman sapertos kitu janten langkung hese ku monopoli Apple dina alat panalungtikan – ngajantenkeun éta tempat anu sampurna pikeun spyware. Kalayan kecap sanésna, sakumaha anu sering kuring nyarios, pangguna dibere ilusi kaamanan anu aya hubunganana sareng opacity pinuh ku sistem. Naon anu kajantenan dina ios teu dipikanyaho ku para ahli cybersecurity, sareng henteuna warta ngeunaan serangan henteu nunjukkeun yén mustahil – sakumaha anu ayeuna urang tingali.
Abdi hoyong ngingetkeun yén ieu sanés kasus serangan anu munggaran dina perusahaan kami. Kami sadar pisan yén kami damel di lingkungan anu agrésif pisan, sareng parantos ngembangkeun prosedur réspon kajadian anu pas. Hatur nuhun kana ukuran anu dilaksanakeun, perusahaan beroperasi sacara normal, prosés bisnis sareng data pangguna henteu kapangaruhan, sareng ancaman parantos nétralisasi. Urang terus ngajaga anjeun, sakumaha salawasna.
PS Naha “triangulasi”?
Pikeun mikawanoh spésifikasi parangkat lunak sareng hardware tina sistem anu diserang, Triangulasi nganggo téknologi Canvas Fingerprinting sareng ngagambar segitiga konéng dina mémori alat.
Pangenal sidik sidik dipercaya janten metode auténtikasi anu cukup aman. Publikasi ngeunaan sagala rupa cara pikeun nipu sénsor sidik ramo kadang-kadang muncul, tapi sadaya metode anu disarankeun kumaha waé dugi ka sacara fisik niru ramo pamilik telepon – boh nganggo pad silikon atanapi citak tinta konduktif. Ieu ngalibatkeun procuring gambar ramo kualitas luhur – teu ramo mana wae, pikiran, tapi hiji didaptarkeun dina sistem.
Pondokna, sakabéh métode ieu datangna kalawan loba complexities dunya nyata. Tapi naha éta tiasa dilakukeun ku cara anu langkung elegan, tanpa ngantunkeun dunya digital anu murni sareng sadaya mangpaatna? Salaku tétéla, éta: peneliti Cina Yu Chen sarta Yiling Anjeunna nembe diterbitkeun mangrupa ulikan ngeunaan cara BRUTE maksakeun ampir sagala smartphone Android anu sidik ditangtayungan. Aranjeunna nelepon serangan BrutePrint.
Kumaha unikna sidik?
Saméméh urang delve kana karya counterparts Cina urang, sakeudeung — sababaraha téori latar tukang… Kahiji sakabeh, jeung Anjeun meureun terang ieu, tapi sidik sabenerna unik jeung pernah robah jeung umur.
Ayeuna, dina taun 1892, élmuwan Inggris Sir Francis Galton medalkeun karya anu disebut Finger Prints. Di jerona, anjeunna nyimpulkeun data ilmiah ayeuna ngeunaan sidik, sareng karya Galton nempatkeun dasar téoritis pikeun panggunaan praktis sidik dina forensik.
Diantara hal séjén, Sir Francis Galton ngitung yén kamungkinan sidik cocog nyaéta “kurang ti 236, atawa hiji dina kira-kira genep puluh opat rébu juta.” Ahli forensik taat kana nilai ieu malah kiwari.
Ku jalan kitu, lamun anjeun kana anatomi teuas atawa biologi balik sidik unik, ieu kertas panalungtikan anyar dina subjek.
Kumaha dipercaya sensor sidik?
Sanajan kitu, karya Sir Francis jeung sagala rupa nu geus datang ti anjeunna, geus ngalakonan jeung (haneut) dunya analog, nu ngawengku hal kawas nyokot sidik, cocog jeung nu ditinggalkeun di, sebutkeun, TKP, sarta Bob keur anjeun. mamang. Tapi hal anu bit béda dina (tiis) kanyataanana digital. Kualitas perwakilan sidik digital gumantung kana sababaraha faktor: jinis sensor, ukuran sareng résolusina, sareng — dina ukuran leutik — algoritma pas-processing sareng “gambar” cocog.
Sidik ramo sapertos katingal ku Sir Francis Galton 150 taun ka pengker (kénca), sareng ku sénsor optik telepon téknologi tinggi anjeun (katuhu). Sumber jeung Sumber
Sareng, tangtosna, pamekar kedah ngajantenkeun alat-alat ieu langkung mirah (atanapi teu aya anu bakal ngagaleuhna), ngahontal auténtikasi sadetik-detik (atanapi kabeuratan ku keluhan ngeunaan laju anu laun), sareng ngahindarkeun négatip palsu dina sagala biaya (atanapi pangguna bakal ngalungkeunana. kabeh jauh sakaligus).). Hasilna sanes sistem auténtikasi anu akurat pisan.
Janten nalika ngarujuk kana sénsor anu dianggo dina smartphone, jumlah anu langkung optimis dicutat pikeun kamungkinan nyocogkeun fragmen sidik ramo tibatan anu terkenal 1 dugi ka 64 milyar. Contona, Apple ngira-ngira kamungkinan Touch ID dina 1 nepi ka 50.000. Janten aman pikeun nganggap yén pikeun modél sensor anu ramah anggaran, odds bakal ngaleutikan langkung jauh ku hiji atanapi dua pesenan.
Ieu nyandak urang ti milyaran ka rébuan. Nu geus aya dina jangkauan keur brute force. Janten bakal peretas ngan ukur hiji halangan tina hadiah: wates jumlah usaha pangakuan sidik. Biasana ukur lima di antarana anu diidinan, dituturkeun ku période anu berkepanjangan pikeun ngonci auténtikasi sidik.
Naha halangan ieu tiasa diatasi? Yu Chen sareng Yiling Anjeunna masihan jawaban satuju kana éta di kamar diajar.
BrutePrint: nyiapkeun brute maksakeun smartphone Android anu ditangtayungan sidik ramo
Metodeu panalungtik dumasar kana kalemahan dina palaksanaan sensor sidik smartphone Android generik: taya sahiji model diuji encrypts saluran komunikasi antara sensor jeung sistem. Ieu muka kasempetan pikeun serangan MITM dina sistem auténtikasi: ku alat disambungkeun ka smartphone via port SPI motherboard urang, hiji bisa intercept pesen asup ti sensor sidik, sarta ngirim pesen sorangan ku impersonating sensor sidik.
Panaliti nyiptakeun alat sapertos kitu (sensor pseudo) sareng dilengkepan ku gadget pikeun otomatis ngaklik layar sénsor smartphone. Kituna bagian komponén hardware disiapkeun pikeun feed sababaraha gambar sidik ka smartphone dina modeu otomatis.
Alat pikeun maksakeun sistem auténtikasi sidik. Sumber
Ti dinya, aranjeunna mimiti nyiapkeun spésimén sidik pikeun brute-forcing. Panaliti henteu ngungkabkeun sumber databés sidik ramona, ngabatesan diri kana spekulasi umum ngeunaan kumaha panyerang éta (kolam panalungtikan, data bocor, database sorangan).
Salaku lengkah saterusna, database sidik dikirim ka AI pikeun ngahasilkeun hal kawas kamus sidik pikeun maksimalkeun pungsi kinerja brute force. Gambar sidik ramo diadaptasi ku AI pikeun cocog sareng anu dihasilkeun ku sénsor anu dipasang dina smartphone anu milu dina ulikan ieu.
Gambar anu dipulangkeun ku sababaraha jinis sénsor sidik ramo béda pisan. Sumber
Dua kerentanan di handapeun BrutePrint: Bolaykeun-After-Match-Fail sareng Match-After-Lock
Serangan BrutePrint ngamangpaatkeun dua kerentanan. Panaliti mendakan éta dina logika dasar kerangka auténtikasi sidik anu, ku katingalna, hadir sareng sadaya smartphone Android tanpa iwal. Kerentanan disebut Cancel-After-Match-Fail and Match-After-Lock.
Ngabolaykeun-After-Match-Fail kerentanan
Ngabolaykeun-After-Match-Foot (CAMF)
exploits dua fitur penting tina mékanisme auténtikasi sidik. Kahiji nyaéta kanyataan yén éta ngandelkeun multisampling, hartina unggal usaha auténtikasi teu make hiji, tapi runtuyan dua nepi ka opat gambar sidik (gumantung model smartphone). Anu kadua nyaéta kanyataan yén, sajaba gagalUsaha auténtikasi ogé tiasa hasil kasalahan – sarta dina hal ieu, aya mulang ka awal.
Hal ieu ngamungkinkeun ngirim runtuyan gambar ditungtungan ku pigura tos diédit pikeun memicu kasalahan. Ku kituna lamun salah sahiji gambar di set micu hiji patandingan, hiji auténtikasi suksés bakal lumangsung. Upami teu kitu, siklus bakal mungkas dina kasalahan, nu satutasna runtuyan anyar gambar bisa dikintunkeun tanpa wasting sagala usaha berharga.
Kumaha Ngabolaykeun-Saatos-Match-Gagal jalan: kasalahan mawa anjeun deui ka pasagi hiji tanpa wasting usaha . Sumber
Cocog-Sanggeus-Konci kerentanan
Karentanan kadua nyaéta Pertandingan-Sanggeus-Konci (MAL). Logika auténtikasi sidik nyadiakeun periode konci sanggeus usaha gagal, tapi loba nu ngical paralatan smartphone gagal pikeun nerapkeun fitur ieu leres dina versi maranéhanana Android. Ku kituna sanajan auténtikasi sidik suksés teu mungkin dina modeu konci, hiji masih bisa ngirimkeun leuwih gambar anyar, nu sistem bakal tetep ngabales kalawan jujur ’leres’ tina jawaban ‘palsu’. Nyaéta, saatos anjeun ngadeteksi gambar anu leres, anjeun tiasa nganggo éta pas sistemna dikonci, ku kituna ngalengkepan auténtikasi anu suksés.
Serangan ngamangpaatkeun Cancel-After-Match-Fail and Match-After-Lock
Serangan anu ngeksploitasi kerentanan munggaran suksés pikeun sadaya smartphone anu diuji sareng Android asli, tapi kusabab sababaraha alesan éta henteu tiasa dianggo sareng HarmonyOS. Match-After-Lock dieksploitasi dina smartphone Vivo sareng Xiaomi ogé dina telepon Huawei anu ngajalankeun HarmonyOS.
Sadaya smartphone anu diuji kapanggih rentan ka sahenteuna hiji serangan. Sumber
Sadaya smartphone Android sareng HarmonyOS anu milu dina ulikan ieu kapanggih rentan ka sahenteuna salah sahiji serangan anu dijelaskeun. Ieu ngandung harti yén aranjeunna sadayana ngijinkeun usaha auténtikasi sidik sidik anu teu terbatas.
Numutkeun kana panilitian, peryogi 2,9 dugi ka 13,9 jam pikeun ngahakan sistem auténtikasi smartphone Android kalayan ngan hiji sidik anu kadaptar. Tapi pikeun smartphone kalawan jumlah maksimum mungkin tina sidik kadaptar pikeun model dibikeun (opat pikeun Samsung, lima pikeun sakabéh batur), waktos noticeably ngurangan: Hacking aranjeunna nyokot tina 0,66 nepi ka 2,78 jam.
Probabilitas serangan BrutePrint suksés salaku fungsi waktos spent: hiji sidik kadaptar (garis solid) jeung jumlah maksimum sidik didaptarkeun (garis dashed). Sumber
Kumaha upami iPhones?
Sistem Touch ID anu dianggo dina iPhone katingalina langkung tahan ka BrutePrint. Numutkeun kana panilitian, kauntungan utama iPhone nyaéta yén komunikasi antara sénsor sidik ramo sareng sesa sistem énkripsi. Janten teu aya deui jalan pikeun nyegat atanapi masihan sistem sidik ramo anu disetél dina alat anu dilengkepan Touch ID.
Panaliti nunjukkeun yén iPhone sawaréh rentan ka manipulasi anu dianggo pikeun maksimalkeun jumlah usaha pangakuan sidik. Nanging, éta henteu goréng sapertos anu disada: bari smartphone Android ngamungkinkeun pésta éta salamina, dina iPhone jumlah usaha ngan ukur tiasa ningkat tina 5 dugi ka 15.
Janten pangguna ios tiasa bobo damai: Touch ID langkung dipercaya tibatan auténtikasi sidik anu dianggo dina Android sareng HarmonyOS. Ogé, ayeuna kalolobaan model iPhone nganggo Face ID.
Kumaha bahaya sadayana ieu?
Pamilik smartphone Android ogé henteu kedah hariwang teuing ngeunaan BrutePrint – dina praktékna, serangan éta ampir henteu aya ancaman anu ageung. Aya sababaraha alesan pikeun ieu:
BrutePrint merlukeun aksés fisik ka alat. Faktor ieu nyalira ngirangan kamungkinan kajadian sapertos kitu ka anjeun ku margin anu ageung.
komo deui, pikeun ngalakukeun serangan, saurang kedah muka konci alat tur nganggo konektor husus dina motherboard nu. Ngalakonan eta tanpa pangaweruh nu boga urang teu gampang.
Malah dina skenario kasus pangalusna, serangan bakal lumangsung butuh waktu nu rada lila – diukur dina jam.
Sareng, tangtosna, BrutePrint merlukeun setélan husus – duanana hardware jeung software – kaasup parabot custom, database sidik sarta AI dilatih.
Digabungkeun, faktor-faktor ieu ngajantenkeun serangan sapertos kitu henteu mungkin dianggo dina kahirupan nyata – kecuali sababaraha sumanget wirausaha ngawangun produk komérsial anu gampang dianggo dumasar kana panalungtikan.
Ngajagi smartphone Android tina paksaan sidik
Upami, sanaos di luhur, anjeun yakin anjeun tiasa janten korban serangan sapertos kitu, ieu sababaraha tip ngeunaan cara ngajagaan diri anjeun:
Ngadaptar saloba mungkin sidik (idealna ngan hiji). Beuki ramo anu anjeun anggo pikeun auténtikasi, sistem bakal langkung rentan kana taktik anu dijelaskeun sareng serangan anu sanés.
Tong hilap nganggo PIN tambahan atanapi panyalindungan sandi kanggo aplikasi anu gaduh pilihan ieu.
Ku jalan kitu, fungsi AppLock sadia dina versi dibayar Kaspersky pikeun Android ngamungkinkeun ngagunakeun kecap akses misah pikeun sakabéh aplikasi Anjeun.
Teu lami saatos urang nyerat ngeunaan kerentanan dina sistem operasi Apple sareng Microsoft, ogé dina chip Exynos Samsung, anu ngamungkinkeun hacking smartphone tanpa tindakan naon waé, muncul warta ngeunaan sababaraha liang kaamanan anu serius dina ios sareng macOS – salian ti éta. ka nu geus dieksploitasi ku panyerang. Kerentanan éta kritis pisan, pikeun merangan éta, Apple gancang ngaluarkeun apdet henteu ngan ukur pikeun sistem operasi anu pang anyarna, tapi ogé pikeun sababaraha vérsi anu sateuacana. Tapi hayu urang ngalakukeun léngkah-léngkah…
Kerentanan dina WebKit sareng IOSurfaceAccelerator
Dina total, dua kerentanan kapanggih. Anu kahiji – namina CVE-2023-28205 (tingkat ancaman: “luhur” [8.8/10]) – masalah mesin WebKit, nu jadi dadasar browser Safari (teu ngan eta; leuwih rinci handap). Intina kerentanan nyaéta, nganggo halaman jahat anu didamel khusus, jalma jahat tiasa ngalaksanakeun kode anu sawenang dina alat éta.
Kerentanan kadua – CVE-2023-28206 (tingkat ancaman “luhur”. [8.6/10]) – kapanggih dina obyek IOSurfaceAccelerator. Penyerang tiasa nganggo éta pikeun ngaéksekusi kode kalayan idin inti sistem operasi. Ku kituna, dua kerentanan ieu tiasa dianggo dina kombinasi: anu kahiji dianggo pikeun nembus alat heula supados anu kadua tiasa dieksploitasi. Anu kadua, kahareupna ngamungkinkeun anjeun “kabur kotak pasir” sareng ngalakukeun ampir naon waé sareng alat anu kainféksi.
Kerentanan tiasa dipendakan dina sistem operasi desktop macOS sareng sistem mobile: iOS, iPadOS sareng tvOS. Henteu ngan ukur generasi panganyarna tina sistem operasi anu rentan, tapi ogé generasi saacanna, ku kituna Apple parantos ngaluarkeun apdet (hiji-hiji) pikeun sadaya sistem: macOS 11, 12 sareng 13, iOS/iPadOS 15 sareng 16, sareng ogé tvOS 16.
Naha kerentanan ieu bahaya
Mesin WebKit mangrupikeun hiji-hijina mesin browser anu diidinan dina sistem operasi mobile Apple. Naon waé browser anu anjeun anggo dina iPhone, WebKit masih bakal dianggo pikeun ngajantenkeun halaman wéb (jadi browser naon waé dina ios dasarna nyaéta Safari).
Salian ti éta, mesin anu sami ogé dianggo nalika muka halaman wéb tina aplikasi anu sanés. Kadang-kadang malah henteu katingali sapertos halaman wéb, tapi WebKit masih bakal aub dina nampilkeunana. Éta sababna penting pisan pikeun masang apdet énggal anu aya hubunganana sareng Safari, sanaos anjeun nganggo browser anu béda sapertos Google Chrome atanapi Mozilla Firefox.
Kerentanan dina WebKit, sakumaha anu dijelaskeun di luhur, ngamungkinkeun anu disebut “no-klik” inféksi dina iPhones, iPads, atanapi Macs. Ieu ngandung harti yén alat-alat anu kainféksi tanpa aksi aktif ti pihak pamaké – ngan saukur mamingan aranjeunna ka situs jahat dijieun husus.
Seringna, kerentanan sapertos kitu dieksploitasi dina serangan anu disasarkeun ka individu anu kuat atanapi organisasi ageung (sanaos pangguna biasa ogé tiasa kakeunaan upami aranjeunna ngagaduhan nasib sial pikeun darat dina halaman anu kainféksi). Sareng sigana aya kajadian anu sami dina hal ieu. Sakumaha biasa, Apple henteu ngaluarkeun detil naon waé, tapi ku sadaya rekeningranté kerentanan ditétélakeun di luhur geus aktip dipaké ku panyerang kanyahoan masang spyware.
Salaku tambahan, saprak CVE-2023-28205 sareng CVE-2023-28206 parantos janten kanyaho umum sareng bukti konsép parantos diterbitkeun pikeun kerentanan kadua, kamungkinan yén penjahat cyber anu sanés ogé bakal mimiti ngamangpaatkeunana.
Kumaha ngajaga diri tina kerentanan anu dijelaskeun
Tangtosna, cara anu pangsaéna pikeun ngajagaan tina CVE-2023-28205 sareng CVE-2023-28206 nyaéta masang apdet Apple énggal. Ieu naon anu anjeun kedah laksanakeun, gumantung kana alat anu dimaksud:
Upami anjeun gaduh salah sahiji alat ios, iPadOS, atanapi tvOS panganyarna, anjeun kedah ngapdet sistem operasi anjeun ka versi 16.4.1.
Upami Anjeun gaduh iPhone atawa iPad heubeul nu teu ngarojong deui OS panganyarna, Anjeun kudu ngamutahirkeun ka versi 15.7.5.
Upami Mac anjeun ngajalankeun Ventura OS panganyarna, kantun update kana macOS 13.3.1.
Upami Mac anjeun ngajalankeun macOS Big Sur atanapi Monterey, anjeun kedah ngapdet kana macOS 11.7.6 atanapi 12.6.5, masing-masing, jeung deuih install apdet misah pikeun Safari.
Sareng tangtosna, tong hilap ngajagi Mac anjeun nganggo parangkat lunak antipirus anu tiasa dipercaya anu tiasa ngajagi anjeun tina kerentanan anu teu tetep anyar.
Versi panganyarna tina ios sareng iPadOS (16.3) sareng macOS (Ventura 13.2) parantos ngalereskeun kerentanan anu dilacak salaku CVE-2023-23530 sareng CVE-2023-23531. Kami ngajelaskeun sifat bug ieu, naha aranjeunna peryogi perhatian anjeun, naon hubunganna spyware Pegasus sareng éta, sareng kunaon anjeun kedah nyandak apdet kaamanan ios, iPad, sareng macOS ka hareup sacara serius.
NSPredicate, FORCEDENTRY, Pegasus sareng anu sanésna
Pikeun ngajelaskeun naha update panganyarna ieu penting, urang peryogi latar tukang saeutik. Pondasi parangkat lunak aplikasi anu diwangun pikeun sistem operasi Apple disebut — sanaos anjeun henteu percanten — kerangka Yayasan! Ieu katerangan Apple ngeunaan éta:
“Kerangka Yayasan nyayogikeun lapisan fungsionalitas dasar pikeun aplikasi sareng kerangka, kalebet neundeun data sareng kegigihan, pamrosésan téks, itungan tanggal sareng waktos, asihan sareng saringan, jeung jaringan. Kelas, protokol, sareng jinis data anu ditetepkeun ku yayasan dianggo dina macOS, iOS, watchOS, sareng tvOS SDK.
Langkung ti dua taun ka pengker, dina Januari 2021, panaliti kaamanan ios namina CodeColorist nyebarkeun laporan anu nunjukkeun kumaha palaksanaan kelas NSPredicate sareng NSExpression (anu mangrupikeun bagian tina kerangka Yayasan) tiasa dieksploitasi pikeun ngaéksekusi kode anu sawenang. Salaku kajadian, kelas ieu tanggung jawab asihan jeung nyaring data. Anu penting di dieu dina kontéks naon anu kami nyarioskeun ka anjeun dina tulisan blog ieu nyaéta yén alat ieu ngamungkinkeun pikeun ngaéksekusi skrip dina alat tanpa pariksa tanda tangan digital kodeu.
Pananjung utama CodeColorist nyaéta skrip sapertos kitu tiasa ngabantosan mékanisme kaamanan Apple – kalebet ngasingkeun aplikasi. Ieu ngamungkinkeun pikeun nyieun aplikasi jahat anu maok data (sapertos korespondensi pangguna atanapi poto acak tina galeri) tina aplikasi anu sanés.
Dina Maret 2022, makalah diterbitkeun ngeunaan aplikasi praktis tina aplikasi sapertos kitu – eksploitasi klik-nol FORCEDENTRY – anu dianggo pikeun nyebarkeun malware Pegasus anu kasohor. Kerentanan dina NSPredicate sareng NSExpression ngamungkinkeun malware ieu pikeun ngajalankeun sandbox escapes sareng kéngingkeun aksés kana data sareng fungsionalitas di luar wates anu ditetepkeun sacara ketat dimana sadaya aplikasi ios dijalankeun.
Saatos karya téoritis CodeColorist sareng diajar langsung ngeunaan eksploitasi FORCEDENTRY, Apple ngalaksanakeun sababaraha ukuran sareng larangan kaamanan. Nanging, panilitian énggal nunjukkeun yén éta masih gampang lulus.
Naha CVE-2023-23530 sareng CVE-2023-23531 bahaya
Kerentanan CVE-2023-23530 sareng CVE-2023-23531 parantos nyayogikeun cara énggal pikeun ngalangkungan watesan ieu. Anu kahiji, CVE-2023-23530, asalna tina persis kumaha Apple ngabéréskeun masalah éta. Khususna, aranjeunna nyusun daptar deprecations kelas sareng metode anu nyababkeun résiko kaamanan anu jelas dina NSPredicate. Nyekel téh, ngagunakeun métode euweuh kaasup dina daptar ditampik, daptar ieu bisa musnah bersih lajeng nganggo set pinuh ku métode jeung kelas.
Kerentanan kadua, CVE-2023-23531, aya hubunganana sareng kumaha prosés dina ios sareng macOS saling berinteraksi, sareng kumaha prosés nampi data nyaring inpormasi anu datang. Kantun nempatkeun, prosés ngirim data tiasa nambihan tag “eusi anu diverifikasi”, teras eupan prosés panampa naskah jahat anu nganggo NSPredicate, anu dina sababaraha kasus bakal dieksekusi tanpa verifikasi.
Numutkeun kana panaliti, dua téknik ieu pikeun ngalangkungan pamariksaan kaamanan ngamungkinkeun eksploitasi sababaraha kerentanan khusus anu sanés. Panyerang tiasa nganggo kerentanan ieu pikeun kéngingkeun aksés kana data pangguna jahat sareng fitur sistem operasi, bahkan masang aplikasi (kalebet aplikasi sistem). Kalayan kecap sanésna, CVE-2023-23530 sareng CVE-2023-23531 tiasa dianggo pikeun nyiptakeun eksploitasi jinis FORCEDENTRY.
Pikeun nunjukkeun kamampuan CVE-2023-23530 sareng CVE-2023-23531, panaliti ngarékam pidéo anu nunjukkeun kumaha aplikasi jahat tiasa dilakukeun pikeun ngaéksekusi kode di jero SpringBoard (aplikasi standar anu ngatur layar utama dina ios) dina iPad. . Pikeun bagian na, SpringBoard geus ditingkatkeun hak husus sarta sababaraha hak aksés – kaasup kana kaméra, mikropon, sajarah panggero, poto, jeung data geolocation. Naon deui – eta bisa ngusap alat sagemblengna.
Naon hartosna pikeun kaamanan ios sareng macOS
Urang kedah negeskeun yén cilaka anu ditimbulkeun ku CVE-2023-23530 sareng CVE-2023-23531 murni téoritis: teu aya kasus eksploitasi di alam liar anu kacatet. Ogé, apdet ios 16.3 sareng macOS Ventura 13.2 parantos nambal, janten upami anjeun masangna dina waktosna, anjeun dianggap aman.
Kusabab ieu, urang henteu terang kumaha Apple parantos nambal kerentanan éta Ieu waktos. Panginten solusi pikeun patch ieu ogé bakal dipendakan. Nanging, dina paguneman sareng Wired, para panaliti nyalira yakin yén kerentanan anyar kelas ieu bakal terus muncul.
Émut yén, ngan saukur ngajalankeun skrip dina ios nganggo NSPredicate henteu cekap pikeun hack anu suksés. Panyerang masih kedah asup kana alat korban pikeun tiasa ngalakukeun naon waé. Dina kasus FORCEDENTRY, ieu kalebet ngagunakeun kerentanan anu sanés: PDF anu katépaan anu nyamar salaku file GIF anu teu salah dilebetkeun kana alat target via iMessage.
Kamungkinan kerentanan sapertos anu dianggo dina serangan APT tinggi, janten kedah diulang deui pancegahan anu anjeun tiasa laksanakeun. Kami gaduh tulisan anu misah dina subjek ieu dimana Costin Raiu, Diréktur Tim Panaliti & Analisis Global (GReAT), ngajelaskeun sacara rinci kumaha cara ngajagaan diri anjeun tina malware kelas Pegasus sareng kunaon éta jalanna. Ieu kasimpulan ringkes naséhatna:
Balikan deui iPhone sareng iPad anjeun langkung sering – sesah pikeun panyerang kéngingkeun pijakan permanén dina ios, sareng ngamimitian deui sering maéhan malware.
Pareuman iMessage sareng FaceTime sabisana – aplikasi ieu nyayogikeun titik éntri anu cocog pikeun nyerang alat ios.
Gantina Safari, make browser alternatif kawas, sebutkeun, Firefox Pokus.
Entong nuturkeun tautan dina pesen.
Pasang panyalindungan anu dipercaya dina sadaya alat anjeun.
Sarta pamustunganana (sakumaha urang terus keukeuh ad infinitum), tetep sistem operasi anjeun nepi ka tanggal (jeung ti ayeuna, meureun tetep panon ngadeukeutan dina ios, iPadOS, sarta apdet macOS sakumaha jeung sakumaha aranjeunna dileupaskeun).
