I ricercatori di Kaspersky avevano scoperto una campagna di spyware, denominata Operation Triangulation, che sfruttava quattro vulnerabilità zero-day di iOS (tutte risolte da Apple). La software house russa ha ora descritto in dettaglio la catena di infezione, svelando che uno degli exploit permetteva di aggirare una protezione hardware (non documentata) presente nei chip degli iPhone.
L’ultimo mistero hardware
La complessa catena di infezione inizia con l’invio di un allegato iMessage e porta all’installazione di uno spyware senza nessuna interazione dell’utente (zero-click). Le quattro vulnerabilità zero-day sono: CVE-2023-41990, CVE-2023-32434, CVE-2023-32435 e CVE-2023-38606. Quest’ultima, risolta con iOS 16.6, riguarda i registri hardware MMIO (memory-mapped I/O) presenti nei chip Apple e mappati nella memoria accessibile dalla CPU.
Questi registri sono protetti per impedire la lettura e scrittura nella memoria del kernel. Tuttavia, i cybercriminali hanno aggirato la protezione. I ricercatori di Kaspersky hanno scoperto che nei chip Apple A12-A16 Bionic ci sono registri MMIO sconosciuti (non documentati da Apple). In pratica, l’exploit ha permesso di scrivere dati in registri hardware del chip non usati dal firmware. Si tratta del classico esempio di “security by obscurity”.
Apple ha probabilmente incluso la funzionalità hardware negli iPhone per errore oppure è stata lasciata per assistere gli ingegneri durante le fasi di debug e test. Non è noto però come i cybercriminali hanno scoperto i registri nascosti. Kaspersky sottolinea che l’approccio “security by obscurity” è sbagliato perché impedisce ai ricercatori di trovare le vulnerabilità prima dei cybercriminali.
Ti potrebbe interessare
27 dic 2023