Apple iOS 'Zero Interaction' iPhone-sikkerhetsproblemer oppdaget og demoed av Google Security Researchers fra Project Zero
Apple iOS, standardoperativsystemet for alle iPhones, inneholdt seks kritiske "Zero Interaction" -problemer. Googles elite ‘Project Zero’-team, som jakter på alvorlige feil og programvarefeil, oppdaget det samme. Interessant nok har Googles sikkerhetsforskerteam vellykket replikert handlingene som kan utføres ved hjelp av sikkerhetsfeilene i naturen. Disse feilene kan potensielt tillate enhver ekstern angriper å ta administrativ kontroll over Apple iPhone uten at brukeren trenger å gjøre noe annet enn å motta og åpne en melding.
Apple iPhone-operativsystemversjoner før iOS 12.4 ble funnet å være utsatt for seks "interaksjonsløse" sikkerhetsfeil, oppdaget Google. To medlemmer av Google Project Zero har publisert detaljer og til og med demonstrert Proof-of-Concept for fem av de seks sårbarhetene. Sikkerhetsfeilene kan betraktes som ganske alvorlige bare fordi de krever minst mulig handlinger utført av det potensielle offeret for å kompromittere iPhones sikkerhet. Sikkerhetsproblemet påvirker iOS-operativsystemet og kan utnyttes via iMessage-klienten.
Google følger ‘Ansvarlig praksis’ og informerer Apple om de alvorlige sikkerhetsfeilene i iPhone iOS:
Google vil avsløre detaljer om sikkerhetsproblemene i Apple iPhone iOS på Black Hat-sikkerhetskonferansen i Las Vegas neste uke. Imidlertid opprettholdt søkegiganten sin ansvarlige praksis med å varsle respektive selskaper om sikkerhetssmutthull eller bakdører, og rapporterte først problemene til Apple for å tillate det å utstede oppdateringer før teamet avslørte detaljene offentlig.
Etter å ha lagt merke til de alvorlige sikkerhetsfeilene, skyndte Apple seg å lappe feilene. Imidlertid har det kanskje ikke helt lyktes. Detaljer om et av de "interaksjonsløse" sårbarhetene har blitt holdt private fordi Apple ikke løste feilen helt. Informasjonen om det samme ble tilbudt av Natalie Silvanovich, en av de to Google Project Zero-forskerne som fant og rapporterte feilene.
Forskeren bemerket også at fire av de seks sikkerhetsfeilene kan føre til kjøring av ondsinnet kode på en ekstern iOS-enhet. Det som er enda mer bekymringsfullt er det faktum at disse feilene ikke trengte noen brukerinteraksjon. Angriperne må bare sende en spesifikt kodet misdannet melding til offerets telefon. Den ondsinnede koden kan da enkelt utføre seg selv etter at brukeren åpnet meldingen for å se det mottatte elementet. De to andre utnyttelsene kan tillate en angriper å lekke data fra enhetens minne og lese filer fra en ekstern enhet. Overraskende nok trenger ikke disse feilene brukerinteraksjon.
Apple kunne vellykket lappe bare fem av de seks sikkerhetsproblemene i 'Zero Interaction' i iPhone iOS?
Alle de seks sikkerhetsfeilene skulle ha blitt patchet forrige uke, 22. juli, med Apples iOS 12.4-utgivelse. Imidlertid ser det ikke ut til å være tilfelle. Sikkerhetsforskeren har bemerket at Apple bare klarte å fikse fem av de seks sikkerhetsproblemene "Zero Interaction" i iPhone iOS. Likevel er detaljer om de fem feilene som ble lappet tilgjengelig online. Google har tilbudt det samme gjennom sitt feilrapporteringssystem.
De tre feilene som tillot ekstern kjøring og gitt administrativ kontroll av offerets iPhone er CVE-2019-8647, CVE-2019-8660 og CVE-2019-8662. De tilknyttede feilrapportene inneholder ikke bare tekniske detaljer om hver feil, men også proof-of-concept-kode som kan brukes til å lage bedrifter. Siden Apple ikke har klart å lappe den fjerde feilen fra denne kategorien, har detaljer om den samme blitt holdt konfidensielle. Google har merket dette sikkerhetsproblemet som CVE-2019-8641.
Google har merket den femte og sjette feilen som CVE-2019-8624 og CVE-2019-8646. Disse sikkerhetsfeilene kan potensielt tillate en angriper å utnytte offerets private informasjon. Disse er spesielt bekymringsfulle fordi de kan lekke data fra enhetens minne og lese filer fra en ekstern enhet uten behov for interaksjon fra offeret.
Med iOS 12.4 kan Apple ha blokkert alle forsøk på å fjernstyre iPhones via den sårbare iMessage-plattformen. Eksistensen og åpen tilgjengelighet av proof-of-concept-kode betyr imidlertid at hackere eller ondsinnede kodere fortsatt kan utnytte iPhones som ikke er oppdatert til iOS 12.4. Med andre ord, mens det alltid anbefales å installere sikkerhetsoppdateringer så snart de blir tilgjengelige, er det i dette tilfellet viktig å installere den nyeste iOS-oppdateringen som Apple har gitt ut uten noen forsinkelse. Mange hackere prøver å utnytte sårbarheter selv etter at de er blitt lappet eller løst. Dette er fordi de er klar over at det er en høy andel av enhetseiere som ikke oppdaterer raskt eller bare forsinker oppdateringen av enhetene sine.
Alvorlige sikkerhetsfeil i iPhone iOS er ganske lukrative og økonomisk givende på det mørke nettet:
De seks sikkerhetsproblemene ”Zero Interaction” ble oppdaget av Silvanovich og andre Google Project Zero sikkerhetsforsker Samuel Groß. Silvanovich vil holde en presentasjon om eksterne og "Interaksjonelle" iPhone-sårbarheter på Black Hat-sikkerhetskonferansen som skal finne sted i Las Vegas neste uke.
‘Null-samhandling'Eller'friksjonsfriSårbarheter er spesielt farlige og forårsaker dyp bekymring blant sikkerhetseksperter. Et lite utdrag om samtalen Silvanovich vil holde på konferansen, fremhever bekymringene for slike sikkerhetsfeil i iPhone iOS. ”Det har gått rykter om eksterne sårbarheter som ikke krever brukervennlig interaksjon for å angripe iPhone, men begrenset informasjon er tilgjengelig om de tekniske aspektene ved disse angrepene på moderne enheter. Denne presentasjonen utforsker den eksterne, interaksjonsløse angrepsflaten til iOS. Den diskuterer potensialet for sårbarheter i SMS, MMS, Visual Voicemail, iMessage og Mail, og forklarer hvordan du setter opp verktøy for å teste disse komponentene. Den inneholder også to eksempler på sårbarheter oppdaget ved hjelp av disse metodene. ”
Presentasjonen er satt til å være en av de mest populære på stevnet, hovedsakelig fordi iOS-feil uten brukerinteraksjon er veldig sjeldne. De fleste iOS- og macOS-utnyttelser er avhengige av å lure offeret til å kjøre en app eller avsløre deres Apple ID-legitimasjon. En null-interaksjonsfeil krever bare å åpne en farget melding for å starte utnyttelsen. Dette øker sjansen for infeksjon eller sikkerhetskompromiss betydelig. De fleste smarttelefonbrukere har begrenset fast eiendom og ender opp med å åpne meldinger for å sjekke innholdet. En smart utformet og velformulert melding øker ofte den oppfattede ektheten eksponentielt, og ytterligere presser sjansene for suksess.
Silvanovich nevnte at slike ondsinnede meldinger kunne sendes via SMS, MMS, iMessage, Mail eller til og med Visual Voicemail. De trengte bare havne i offerets telefon og bli åpnet. "Slike sårbarheter er den hellige gral til en angriper, slik at de kan hacke seg inn i ofrenes enheter uten å bli oppdaget." Forresten, frem til i dag, ble slike minimale eller "Zero Interaction" sikkerhetsproblemer bare funnet å ha blitt brukt av utnyttende leverandører og produsenter av juridiske avskjæringsverktøy og overvåkingsprogramvare. Dette betyr ganske enkelt slikt svært sofistikerte feil som forårsaker minst mulig mistanke, blir hovedsakelig oppdaget og handlet av programvareleverandører som opererer på Dark Web. Kun statssponserte og fokuserte hackingsgrupper har vanligvis tilgang til dem. Dette er fordi leverandører som får tak i slike feil, selger dem for enorme summer.
I følge et prisdiagram publisert av Zerodium kan slike sårbarheter som selges på Dark Web eller det svarte markedet for programvare koste over $ 1 million hver. Dette betyr at Silvanovich kan ha publisert detaljer om sikkerhetsutnyttelser som ulovlige programvareleverandører kan ha belastet hvor som helst mellom $ 5 millioner og $ 10 millioner. Crowdfense, en annen plattform som jobber med sikkerhetsinformasjon, hevder at prisen lett kunne vært mye høyere. Plattformen baserer sine antagelser om at disse feilene var en del av “ikke-klikk angrepskjede”. Videre fungerte sårbarhetene på nyere versjoner av iOS-utnyttelser. Kombinert med det faktum at det var seks av dem, kunne en utnyttelsesleverandør lett tjent mer enn 20 millioner dollar for partiet.