Apple iOS 'Zero Interaction' iPhone-sårbarheder opdaget og demoed af Google Security Researchers fra Project Zero
Apple iOS, standardoperativsystemet til alle iPhones, indeholdt seks kritiske "Zero Interaction" -sårbarheder. Googles elite 'Project Zero' team, der jager efter alvorlige fejl og softwarefejl, opdagede det samme. Interessant nok har Googles sikkerhedsforskningsteam også med succes replikeret de handlinger, der kan udføres ved hjælp af sikkerhedsfejlene i naturen. Disse fejl kan muligvis tillade enhver fjernangriber at tage administrativ kontrol over Apple iPhone uden at brugeren behøver at gøre andet end at modtage og åbne en besked.
Apple iPhone-operativsystemversioner før iOS 12.4 viste sig at være modtagelige for seks “interaktionsløse” sikkerhedsfejl, opdagede Google. To medlemmer af Google Project Zero har offentliggjort detaljer og endda med succes demonstreret Proof-of-Concept for fem af de seks sårbarheder. Sikkerhedsfejlene kan betragtes som ganske alvorlige, simpelthen fordi de kræver mindst mulig handlinger udført af det potentielle offer for at kompromittere iPhones sikkerhed. Sikkerhedssårbarheden påvirker iOS-operativsystemet og kan udnyttes via iMessage-klienten.
Google følger 'Ansvarlig praksis' og informerer Apple om de alvorlige sikkerhedsfejl i iPhone iOS:
Google vil afsløre detaljer om sikkerhedssårbarheden i Apple iPhone iOS på Black Hat-sikkerhedskonferencen i Las Vegas i næste uge. Søgekæmpen opretholdt imidlertid sin ansvarlige praksis med at advare respektive virksomheder om sikkerhedsmangler eller bagdøre og rapporterede først problemerne til Apple for at give det mulighed for at udstede patches, før holdet afslørede detaljerne offentligt.
Under hensyntagen til de alvorlige sikkerhedsfejl skyndte Apple sig at lappe fejlene. Det er dog muligvis ikke helt lykkedes. Detaljer om en af de "interaktionsløse" sårbarheder er blevet holdt private, fordi Apple ikke løste fejlen fuldstændigt. Oplysningerne om det samme blev tilbudt af Natalie Silvanovich, en af de to Google Project Zero-forskere, der fandt og rapporterede fejlene.
Forskeren bemærkede også, at fire af de seks sikkerhedsfejl kunne føre til udførelse af ondsindet kode på en ekstern iOS-enhed. Hvad der er endnu mere bekymrende er, at disse bugs ikke behøvede nogen brugerinteraktion. Angriberne skal blot sende en specifikt kodet misformet besked til et offerets telefon. Den ondsindede kode kunne derefter let udføre sig selv, efter at brugeren åbnede beskeden for at se det modtagne element. De to andre bedrifter kunne tillade en angriber at lække data fra en enheds hukommelse og læse filer fra en fjernenhed. Overraskende nok behøvede selv disse fejl ikke brugerinteraktion.
Apple kunne med succes kun samle fem af de seks 'Zero Interaction' sikkerhedssårbarheder i iPhone iOS?
Alle seks sikkerhedsfejl skulle have været opdateret med succes i sidste uge den 22. juli med Apples iOS 12.4-udgivelse. Det ser dog ikke ud til at være tilfældet. Sikkerhedsforskeren har bemærket, at Apple kun formåede at løse fem af de seks sikkerhedsproblemer med "Zero Interaction" i iPhone iOS. Alligevel er oplysninger om de fem fejl, der blev patched, tilgængelige online. Google har tilbudt det samme gennem sit fejlrapporteringssystem.
De tre fejl, der tillod fjernudførelse og tildelte administrativ kontrol af ofrets iPhone er CVE-2019-8647, CVE-2019-8660 og CVE-2019-8662. De sammenkædede fejlrapporter indeholder ikke kun tekniske detaljer om hver fejl, men også proof-of-concept-kode, der kan bruges til at udnytte bedrifter. Da Apple ikke har været i stand til med succes at lappe den fjerde fejl fra denne kategori, er detaljer om den samme blevet holdt fortrolige. Google har mærket denne sikkerhedssårbarhed som CVE-2019-8641.
Google har tagget den femte og sjette fejl som CVE-2019-8624 og CVE-2019-8646. Disse sikkerhedsfejl kan muligvis give en angriber mulighed for at udnytte offerets private oplysninger. Disse er især bekymrende, fordi de kan lække data fra en enheds hukommelse og læse filer fra en ekstern enhed uden behov for interaktion fra offeret.
Med iOS 12.4 har Apple muligvis blokeret ethvert forsøg på at fjernstyre iPhones via den sårbare iMessage-platform. Eksistensen og åben tilgængelighed af proof-of-concept-kode betyder imidlertid, at hackere eller ondsindede kodere stadig kan udnytte iPhones, der ikke er opdateret til iOS 12.4. Med andre ord, mens det altid anbefales at installere sikkerhedsopdateringer, så snart de bliver tilgængelige, er det i dette tilfælde vigtigt at installere den nyeste iOS-opdatering, som Apple har frigivet uden nogen forsinkelse. Mange hackere forsøger at udnytte sårbarheder, selv efter at de er blevet patchet eller rettet. Dette skyldes, at de er meget opmærksomme på, at der er en høj procentdel af enhedsejere, der ikke opdaterer hurtigt eller simpelthen forsinker opdatering af deres enheder.
Alvorlige sikkerhedsfejl i iPhone iOS er ret lukrative og økonomisk givende på det mørke web:
De seks sikkerhedsproblemer ”Zero Interaction” blev opdaget af Silvanovich og andre Google Project Zero sikkerhedsforskere Samuel Groß. Silvanovich holder en præsentation om fjerntliggende og "interaktionsløse" iPhone-sårbarheder på Black Hat-sikkerhedskonferencen, der skal finde sted i Las Vegas i næste uge.
‘Nul-interaktion'Eller'friktionsløs'Sårbarheder er særligt farlige og giver anledning til dyb bekymring blandt sikkerhedseksperter. Et lille uddrag om samtalen, som Silvanovich vil holde på konferencen, fremhæver bekymringerne for sådanne sikkerhedsfejl i iPhone iOS. ”Der har været rygter om eksterne sårbarheder, der ikke kræver nogen brugerinteraktion til at angribe iPhone, men der er begrænset information tilgængelig om de tekniske aspekter af disse angreb på moderne enheder. Denne præsentation udforsker iOS's fjerntliggende, interaktionsløse angrebsflade. Den diskuterer potentialet for sårbarheder i SMS, MMS, Visual Voicemail, iMessage og Mail og forklarer, hvordan man opsætter værktøj til at teste disse komponenter. Det indeholder også to eksempler på sårbarheder, der er opdaget ved hjælp af disse metoder. ”
Præsentationen er indstillet til at være en af de mest populære på stævnet, primært fordi iOS-bugs uden brugerinteraktion er meget sjældne. De fleste iOS- og macOS-udnyttelser er afhængige af succes med at narre offeret til at køre en app eller afsløre deres Apple ID-legitimationsoplysninger. En fejl uden nul-interaktion kræver kun at åbne en beskadiget besked for at starte udnyttelsen. Dette øger chancerne for infektion eller sikkerhedskompromittering betydeligt. De fleste smartphone-brugere har begrænset skærmejendomme og ender med at åbne beskeder for at kontrollere indholdet. En smart udformet og velformuleret besked øger ofte eksponentielt den opfattede ægthed og skubber yderligere chancerne for succes.
Silvanovich nævnte sådanne ondsindede beskeder kunne sendes via SMS, MMS, iMessage, Mail eller endda Visual Voicemail. De havde kun brug for at ende i offerets telefon og blive åbnet. "Sådanne sårbarheder er en hackeres hellige gral, der giver dem mulighed for at hacke sig ind i ofrenes enheder, der ikke er opdaget." Indtil i dag blev sådanne minimale eller "Zero Interaction" sikkerhedssårbarheder kun fundet at være blevet brugt af udnyttelsesleverandører og producenter af juridiske aflytningsværktøjer og overvågningssoftware. Dette betyder simpelthen sådan meget sofistikerede bugs der forårsager mindst mulig mistanke, opdages og handles hovedsageligt af softwareleverandører, der opererer på det mørke web. Kun statsstøttede og fokuserede hackegrupper har typisk adgang til dem. Dette skyldes, at leverandører, der får fat i sådanne mangler, sælger dem for enorme summer.
Ifølge et prisdiagram, der er offentliggjort af Zerodium, kan sådanne sårbarheder, der sælges på Dark Web eller det sorte softwaremarked, koste over $ 1 million hver. Dette betyder, at Silvanovich muligvis har offentliggjort oplysninger om sikkerhedsudnyttelser, som ulovlige softwareleverandører muligvis har opkrævet et sted mellem $ 5 millioner og $ 10 millioner. Crowdfense, en anden platform, der arbejder med sikkerhedsoplysninger, hævder, at prisen let kunne have været meget højere. Platformen baserer sine antagelser på det faktum, at disse mangler var en del af “ikke-klik angrebskæde”. Desuden fungerede sårbarhederne på nyere versioner af iOS-exploits. Kombineret med det faktum, at der var seks af dem, kunne en udnyttelsesleverandør let have tjent mere end 20 millioner dollars til partiet.