A Equipe Global de Investigação e Análise (GReAT) da Kaspersky revela uma vulnerabilidade de hardware até então desconhecida nos iPhones, que desempenhou um papel fundamental nos mais recentes ataques realizados pela campanha de espionagem 'Operation Triangulation' - uma ameaça avançada persistente (APT) direcionada a dispositivos Apple e descoberta em meados de 2023 pela empresa de cibersegurança. Essa vulnerabilidade permite aos atacantes burlar a proteção de memória em iPhones com versões do iOS 16.6 ou inferiores.
A vulnerabilidade é uma caraterística do hardware, possivelmente baseada no princípio de "segurança por obscuridade", e pode ter sido desenhada para a execução de testes ou debugging. Após o ataque inicial ao iMessage e consequente obtenção de privilégios de acesso, os atacantes utilizam essa funcionalidade de hardware para contornar as proteções de segurança e manipular o conteúdo das áreas de memória protegidas. Este passo foi crucial para obter o controle total do dispositivo. A Apple já corrigiu essa vulnerabilidade e identificou-a como CVE-2023-38606.
Segundo a Kaspersky, a vulnerabilidade ainda não havia sido documentada publicamente, o que representa um desafio para sua deteção e análise usando os métodos de segurança convencionais. Os investigadores do GReAT fizeram uma detalhada engenharia reversa, analisando meticulosamente a integração de hardware e software do iPhone. A equipe teve também de decifrar o funcionamento do SoC (System on a chip) e a sua interação com o sistema operacional iOS, especialmente no que diz respeito à gestão da memória e aos mecanismos de proteção.
“Esta não é uma vulnerabilidade comum. Devido à natureza fechada do ecossistema iOS, o processo de descoberta foi desafiante e moroso, exigindo uma compreensão abrangente das arquiteturas de hardware e software. O que esta descoberta nos ensinou, mais uma vez, é que mesmo as proteções avançadas baseadas em hardware podem tornar-se ineficazes frente a um atacante sofisticado, sobretudo quando existem características de hardware que permitem burlar essas proteções”, avalia Boris Larin, investigador sênior de segurança da Kaspersky.
O grupo APT “Operation Triangulation” é uma campanha sofisticada que utiliza exploits desconhecidos (zero-day) distribuídos por meio do iMessage, permitindo aos atacantes obter controle total sobre o dispositivo visado e acessar seus dados. Frente a essa situação, a Apple já disponibilizou um conjunto de correções de segurança para resolver as quatro vulnerabilidades de zero-day identificadas nas investigações da Kaspersky e que podem afetar diversos dispositivos, como iPhones, iPods, iPads, computadores com macOS, Apple TV e Apple Watch. A Kaspersky também reportou à Apple sobre a exploração da funcionalidade de hardware, o que levou à sua posterior correção.
Para saber mais sobre a “Operação Triangulação” e os detalhes da análise técnica, acesse o relatório em Securelist.com.
Para evitar ser vítima de um ataque sofisticado, realizado por um grupo conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas de segurança:
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.