Un nuovo attacco di spyware, denominato Operazione Triangolazione, ha infettato i dispositivi iOS fino alla versione 16.2 sfruttando una vulnerabilità hardware sconosciuta.
L’attacco, scoperto dalla società russa di sicurezza informatica Kaspersky, è stato descritto come la “catena di attacchi più sofisticata” osservata fino ad oggi. Si crede che la campagna fosse attiva dal 2019.
L’attività di sfruttamento coinvolgeva l’uso di quattro falle zero-day che sono state assemblate in una catena per ottenere un livello di accesso senza precedenti e creare backdoor sui dispositivi target.
Il punto di partenza dell’attacco zero-click è un iMessage contenente un allegato dannoso, che viene elaborato automaticamente senza alcuna interazione dell’utente per ottenere infine autorizzazioni elevate e implementare un modulo di spyware.
Nello specifico, l’exploit sfrutta le seguenti vulnerabilità:
- CVE-2023-41990: Una falla nel componente FontParser che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di un file di caratteri appositamente creato, inviato tramite iMessage. (Risolta in iOS 15.7.8 e iOS 16.3)
- CVE-2023-32434: Una vulnerabilità di overflow di interi nel Kernel che potrebbe essere sfruttata da un’applicazione dannosa per eseguire codice arbitrario con privilegi di kernel. (Risolta in iOS 15.7.7, iOS 15.8 e iOS 16.5.1)
- CVE-2023-32435: Una vulnerabilità di corruzione della memoria in WebKit che potrebbe portare all’esecuzione di codice arbitrario durante l’elaborazione di contenuti web appositamente creati. (Risolta in iOS 15.7.7 e iOS 16.5.1)
- CVE-2023-38606: Un problema nel kernel che consente a un’applicazione dannosa di modificare lo stato sensibile del kernel. (Risolta in iOS 16.6)
È importante notare che le correzioni per CVE-2023-41990 sono state rilasciate da Apple nel gennaio 2023, anche se i dettagli sull’exploit sono stati resi pubblici dalla società solo l’8 settembre 2023, lo stesso giorno in cui ha distribuito iOS 16.6.1 per risolvere altre due falle (CVE-2023-41061 e CVE-2023-41064) che erano state attivamente sfruttate in relazione a una campagna di spyware Pegasus.
Delle quattro vulnerabilità, CVE-2023-38606 merita una menzione speciale poiché facilita il bypass delle protezioni di sicurezza basate sull’hardware per regioni sensibili della memoria del kernel sfruttando i registri di input/output mappati in memoria (MMIO), una funzionalità mai conosciuta o documentata fino ad ora.
In particolare, l’exploit mira ai SoC Bionic Apple A12-A16, individuando blocchi di registri MMIO sconosciuti appartenenti al coprocessore GPU. Al momento non si sa come gli oscuri attori minacciosi dietro l’operazione abbiano appreso della sua esistenza. È anche poco chiaro se sia stato sviluppato da Apple o sia un componente di terze parti come ARM CoreSight.
In altre parole, CVE-2023-38606 è il collegamento cruciale nella catena di exploit strettamente legato al successo della campagna Operazione Triangolazione, dato che consente al minaccioso attore di ottenere il completo controllo del sistema compromesso.
“La nostra supposizione è che questa funzionalità hardware sconosciuta fosse probabilmente destinata a essere utilizzata per scopi di debug o di test dagli ingegneri Apple o dalla fabbrica, o che fosse stata inclusa per errore”, ha detto il ricercatore di sicurezza Boris Larin. “Poiché questa funzione non è utilizzata dal firmware, non abbiamo idea di come gli attaccanti potrebbero saperla usare.”
“La sicurezza hardware spesso si basa sulla ‘sicurezza attraverso l’oscurità’ ed è molto più difficile da decifrare rispetto al software, ma questo è un approccio difettoso, perché prima o poi tutti i segreti vengono rivelati. I sistemi che si basano sulla ‘sicurezza attraverso l’oscurità’ non possono mai essere veramente sicuri.”
Questo attacco ha implicazioni significative per la sicurezza dei dispositivi iOS e per la sicurezza informatica in generale.
Innanzitutto, l’attacco dimostra che anche i dispositivi mobili più sicuri possono essere vulnerabili a attacchi sofisticati. L’uso di quattro falle zero-day, di cui una sconosciuta e mai documentata prima, evidenzia la crescente sofisticatezza degli attacchi informatici.
In secondo luogo, l’attacco sottolinea l’importanza delle patch di sicurezza. Le quattro vulnerabilità sfruttate nell’attacco Operazione Triangolazione sono state tutte risolte da Apple con patch rilasciate tra gennaio e settembre 2023. Tuttavia, molti utenti non hanno aggiornato i propri dispositivi a tempo debito, rendendosi vulnerabili all’attacco.
In terzo luogo, l’attacco mette in luce la vulnerabilità delle funzionalità hardware sconosciute. La vulnerabilità CVE-2023-38606, che ha permesso agli attaccanti di bypassare le protezioni di sicurezza basate sull’hardware, è una funzionalità hardware sconosciuta e mai documentata prima. Questo dimostra che anche le funzionalità hardware più complesse possono essere sfruttate dagli attaccanti per ottenere l’accesso non autorizzato ai sistemi.