Il team di ricerca e analisi globale di Kaspersky, noto come GReAT, ha recentemente rivelato una scoperta sorprendente riguardante i dispositivi iPhone di Apple. Durante il 37° Chaos Communication Congress ad Amburgo, i ricercatori hanno illustrato come una caratteristica hardware precedentemente ignota abbia giocato un ruolo cruciale nell’ambito della cosiddetta “Operation Triangulation”.
Gli esperti di Kaspersky hanno identificato una vulnerabilità nel System on a Chip (SoC) degli iPhone, che si è rivelata determinante negli attacchi noti come Operation Triangulation. Questa falla permetteva agli hacker di eludere le protezioni della memoria a livello hardware su dispositivi che operano con versioni di iOS fino alla 16.6. La vulnerabilità, non documentata pubblicamente, si basa sul principio della “security through obscurity” e si presume fosse destinata a operazioni di test o debug.
Dopo un attacco iniziale tramite iMessage senza necessità di clic (0-click) e un’escalation dei privilegi, gli aggressori hanno sfruttato questa funzione hardware per bypassare le misure di sicurezza e manipolare le aree di memoria protette. Questo passaggio era essenziale per ottenere il controllo totale del dispositivo. Apple ha successivamente corretto il problema, identificato come CVE-2023-38606.
La ricerca di Kaspersky ha evidenziato che la rilevazione e l’analisi di questa caratteristica rappresentavano una sfida significativa, data la mancanza di documentazione pubblica. Il team GReAT ha condotto un’approfondita attività di reverse engineering, esaminando minuziosamente l’integrazione hardware e software degli iPhone. Un focus particolare è stato posto sugli indirizzi Memory-Mapped I/O (MMIO), cruciali per la comunicazione tra la CPU e i dispositivi periferici. Gli indirizzi MMIO sconosciuti, utilizzati dagli aggressori per eludere la protezione della memoria del kernel, non erano stati identificati in nessun intervallo all’interno della struttura dei dispositivi.
Boris Larin, Principal Security Researcher di GReAT, ha sottolineato che questa non è una vulnerabilità ordinaria. La natura chiusa dell’ecosistema iOS ha reso il processo di scoperta particolarmente arduo, richiedendo una comprensione completa delle architetture hardware e software. Larin ha aggiunto che questa scoperta dimostra come anche le protezioni avanzate basate sull’hardware possano essere superate da aggressori sofisticati, specialmente quando esistono caratteristiche hardware che permettono di bypassare tali protezioni.
“Operation Triangulation” è una campagna di Advanced Persistent Threat (APT) che colpisce i dispositivi iOS, scoperta da Kaspersky all’inizio dell’estate. Questa campagna sofisticata utilizza exploit 0-click distribuiti tramite iMessage, permettendo agli aggressori di ottenere il controllo completo dei dispositivi bersaglio e accedere ai dati degli utenti. Apple ha rilasciato aggiornamenti di sicurezza per risolvere quattro vulnerabilità zero-day identificate da Kaspersky: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990, che influenzano una vasta gamma di prodotti Apple, inclusi iPhone, iPod, iPad, dispositivi MacOS, Apple TV e Apple Watch. Kaspersky ha anche informato Apple dello sfruttamento della dotazione hardware, contribuendo alla risoluzione del problema da parte dell’azienda.