iPhone-Hack: Kaspersky veröffentlicht Details zur Operation Triangulation
Kaspersky veröffentlicht seinen ersten vollständigen Bericht zum iPhone-Exploit "Operation Triangulation". Die Malware nutzte unter anderem Hardware-Schwachstellen bei Apple aus.
Forschende von Kaspersky haben im Rahmen des 37. Chaos Communication Congress ihre aktuellen Erkenntnisse bezüglich des Exploits von iPhones unter dem Namen "Operation Triangulation" veröffentlicht. In diesem Bericht gaben die Forschenden zum ersten Mal sämtliche Details bezüglich der darin involvierten Angriffe und Schwachstellen bekannt, wie das Unternehmen schreibt.
Bereits im Juni berichteten die Forschenden, wie Angreifer über eine iMessage-Nachricht iPhones vollständig übernehmen können. Sie bemerkten diesen Exploit erst, nachdem Angreifer bereits Geräte von Kaspersky infiziert hatten, wie es weiter heisst. Hierbei soll die verdächtige Netzkommunikation der infizierten Geräte aufgefallen sein.
Operation Triangulation
Der Exploit gliedert sich in insgesamt 14 Stufen. Dabei sollen nicht weniger als sechs zuvor unbekannte Sicherheitslücken zur Verwendung gekommen sein. Der Angriff funktioniert gemäss des Berichts wie folgt:
Angreifer würden über eine iMessage-Nachricht einen bösartigen Anhang verschicken. Diese nutze zuerst eine Schwachstelle in der Code-Ausführung der Adjust-Truetype-Schriftanweisung, um dann einen sogenannten "Privilege Escalation Exploit" auszuführen. Das Programm verstecke hierbei diesen Angriff. Der neugeschaffene Exploit verschafft sich dem Bericht zufolge Zugang zum Speicher von Javascriptcore und führt dort eingebaute native API-Funktionen aus. Der Exploit soll dann eine Schwachstelle in XNUs Speicherzuordnung ausnutzen, um Zugriff auf den Speicher des gesamten Gerätes zu erlangen. Über eine weitere Schwachstelle könne das Programm dann den "Page Protection Layer" umgehen. Ist dies einmal gelungen, kann der Javascript-Exploit laut dem Report machen, was es will.
Eine iMessage-Nachricht verbreitet den Exploit. Über eine Reihe von Schwachstellen verschafft sich der Exploit Zugang zum Gerätespeicher. Ist dies geschehen, kann der Exploit beliebigen Code, allen voran den Safari-Exploit, ausführen. (Source: Kaspersky)
Im Exploit soll sich darüber hinaus ein Script befinden, das die Forschenden als Safari-Exploit bezeichnen. Der Safari-Exploit nutze eine weitere Schwachstelle aus, um einen Shellcode auszuführen. Mit diesem führe das Script einen Kernel-Angriff aus, wobei es auf zwei Schwachstellen zurückgreife. Schlussendlich lade das Script Spyware auf das Gerät hoch.
Die Schwachstelle CVE-2023-38606
Im Bericht gehen die Forschenden insbesondere auf die Sicherheitslücke CVE-2023-38606 ein. Neuere iPhone-Modelle sollen über einen zusätzlichen Hardware-basierten Sicherheitsschutz für den Kernel-Speicher verfügen. Dieser Schutzmechanismus würde Angreifer davon abhalten, die komplette Kontrolle über das Gerät zu erlangen, nur weil sie Zugang zum Kernel-Speicher hätten. Um diesen Schutzmechanismus zu umgehen, müssten Cyberkriminelle aber lediglich auf eingebaute Hardwarefunktionen in Apple-Chips zurückgreifen. Die Angreifer könnten Daten an bestimmte physikalische Adressen, die Register, schreiben und dabei den hardwarebasierten Speicherschutz umgehen, indem sie die Daten, die Zieladresse und den Datenhash in unbekannte Hardwareregister des Chips schreiben, die die Firmware nicht verwenden würde. Die Forschenden gehen davon aus, dass Apple-Ingenieure diese Hardware-Funktion zu Debugging- oder Testzwecken verwendeten und einbauten. Wie die Hacker von diesen Schwachstellen wussten, können sich die Forschenden allerdings nicht erklären.
Sicherheitsexperte vermutet eingebaute Hintertür
Der Sicherheitsexperten Steve Gibson erhebt in einem Podcast schwere Vorwürfe. Laut ihm handelt es sich nicht um Funktionen zu Debugging-Zwecken, sondern um gezielt eingebaute Hintertüren für westliche Geheimdienste. Eine Hardwarefunktion, die niemand kennt, praktisch nicht auffindbar ist und nur mit dem richtigen Code überhaupt angesprochen werden kann, lässt kaum einen anderen Schluss zu, wie er schreibt.
Auch Hector Martin betont in einem längeren Post auf Mastodon, dass er die im Zentrum der Debatte stehenden Register kennt respektive ebenfalls schon gefunden hat. Im Gegensatz zu Gibson hält es Martin für möglich, dass jemand die Funktionsweise der Register erraten könne. Denkbar sei aber auch, dass Apple auf diese Funktionen in irgendwelchen Tools zugreife, die nicht öffentlich bekannt seien.
Die gute Nachricht zuletzt: Apple hat bereits im Juli 2023 mit einem Update den Zugriff auf die umstrittenen Register blockiert.
Übrigens: Apple hat im vergangenen Dezember Updates veröffentlicht, um zwei kritische Schwachstellen in seinen Betriebssystemen zu beheben. Die Schwachstellen erlaubten den Zugriff auf sensible Daten. Mehr dazu können Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Protonmail lanciert Dark Web Monitoring
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Bitdefender startet Förderprogramm für Start-ups
Hamster entrinnt dem Regenbogen-Labyrinth
Gil Shwed über Rücktritt, Cybercrime und KI
