Эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, которая была критически важна для реализации кампании «Операция Триангуляция». Речь идет об уязвимости CVE-2023-38606. С ее помощью злоумышленники могли обходить аппаратную защиту некоторых областей памяти ядра в смартфонах iPhone до версии 16.6.
Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию. Она, скорее всего, предназначалась для тестирования или отладки. После того как жертве приходило скрытое сообщение iMessage с zero-click эксплойтом во вложении и злоумышленники получали возможность исполнять код, они использовали эту аппаратную функцию для обхода средств защиты чипов Apple и манипулирования содержимым защищенных областей памяти. Этот шаг был очень важен для получения полного контроля над устройством, уточняют эксперты. К счастью, сейчас Apple устранила опасную уязвимость.
Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и ее было трудно обнаружить и проанализировать традиционными методами. Эксперты не смогли узнать, как же злоумышленники догадались о способах ее применения.
«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс ее поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощренного злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», — рассказывает исследователь киберугроз в «Лаборатории Касперского».
Операция Триангуляция — это APT-кампания, которой подверглись iOS-устройства. Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырех уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий, что делало атаки особо опасными.
Эксперты отмечают, что обнаруженная уязвимость является еще одним свидетельством того, что даже самые современные устройства и системы могут быть уязвимы для атак. Поэтому важно регулярно обновлять программное обеспечение и использовать надежные средства защиты от вредоносных программ.