Forscher des Cybersicherheitsunternehmens Kaspersky haben nach eigenen Angaben eine obskure Hardware-Funktion entdeckt, die Hacker vermutlich bei früheren Spyware-Angriffen auf iPhone-Nutzer ausgenutzt haben.
Das GReAT-Team von Kaspersky hat nach eigenen Angaben eine Schwachstelle in Apples System on a Chip (SoC) entdeckt, die bei den jüngsten Angriffen auf iPhones im Rahmen der sogenannten Operation Triangulation eine entscheidende Rolle gespielt hat. Sie ermöglichte es Angreifern, den hardwarebasierten Speicherschutz auf iPhones mit iOS-Versionen bis iOS 16.6 zu umgehen. Bei der Schwachstelle CVE-2023-38606 handelt es sich um ein Hardware-Feature, das möglicherweise auf dem Prinzip "Security through Obscurity" basiert und möglicherweise zu Test- oder Debugging-Zwecken ausgenutzt wurde. Nach dem initialen Angriff über 0-Klick-iMessage und der anschliessenden Rechteerweiterung nutzten die Angreifer dieses Hardware-Feature, um hardwarebasierte Sicherheitsmassnahmen zu umgehen und den Inhalt geschützter Speicherbereiche zu manipulieren. Dadurch konnte der Angreifer die vollständige Kontrolle über das Gerät erlangen. Dieses Feature war – sofern Kaspersky bekannt – nicht öffentlich dokumentiert, was die Erkennung und Analyse mit herkömmlichen Sicherheitsmethoden erschwerte. Die Experten im GReAT führten umfangreiches Reverse Engineering durch und analysierten die Hardware- und Softwareintegration des iPhones sorgfältig. Dabei konzentrierten sie sich insbesondere auf die Memory-Mapped-I/O (MMIO)-Adressen, die für die effiziente Kommunikation zwischen der CPU und den Peripheriegeräten im System sorgen. Dabei wurden keine unbekannten MMIO-Adressen, die von den Angreifern zur Umgehung des hardwarebasierten Kernel-Speicherschutzes verwendet wurden, in den Device-Tree-Dateien identifiziert, was eine Herausforderung darstellte. Das Team musste auch die komplizierten Funktionsweisen des SoC und seine Interaktion mit dem iOS-Betriebssystem, darunter auch Speicherverwaltung und Schutzmechanismen, entschlüsseln. Dieser Prozess umfasste eine gründliche Untersuchung verschiedener Device-Tree-Dateien, Quellcodes, Kernel-Images und Firmware, um Hinweise auf diese MMIO-Adressen zu finden.
„Hierbei handelt es sich um keine gewöhnliche Schwachstelle“, so Boris Larin, Principal Security Researcher im GReAT bei Kaspersky. „Aufgrund der geschlossenen Natur des iOS-Ökosystems war die Erkennung dieser herausfordernd und zeitaufwändig; sie erforderte ein umfassendes Verständnis sowohl der Hardware- als auch der Softwarearchitektur. Die Entdeckung der Schwachstelle zeigt, dass selbst fortschrittliche hardwarebasierte Schutzmassnahmen angesichts eines raffinierten Angreifers wirkungslos sein können – insbesondere, wenn es Hardware-Features gibt, die es ermöglichen, diese Schutzmassnahmen zu umgehen.“
Bei Operation Triangulation handelt es sich um eine Advanced-Persistent-Threat (APT)-Kampagne, die auf iOS-Geräte abzielt und Anfang des Sommers von Kaspersky entdeckt wurde. Hierfür wurden Zero-Click-Exploits genutzt, die über iMessage verbreitet wurden und es Angreifern ermöglichten, die Kontrolle über das Zielgerät zu erlangen und auf Nutzerdaten zuzugreifen. Insgesamt identifizierten Kaspersky-Experten damals vier Zero-Day-Schwachstellen – CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 und CVE-2023-41990 – für die Appel Sicherheitsupdates zur Verfügung stellte. Diese Schwachstellen waren in einer Vielzahl an Apple-Produkten enthalten, darunter iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch. Kaspersky hat Apple über die Ausnutzung des Hardware-Features informiert; Apple hat die Schwachstelle bereits behoben.