.
Pesquisadores universitários desenvolveram uma nova exploração que pode roubar informações de praticamente todos os Apple Macs, iPhones e iPads modernos.
Apelidada de “iLeakage”, a exploração tem como alvo o WebKit, o mecanismo JavaScript que alimenta o navegador Safari da Apple, e lembra os ataques Meltdown e Spectre de 2018.
O pesquisas mostram como um invasor remoto poderia roubar segredos como dados da caixa de entrada do Gmail, mensagens de texto, credenciais fornecidas pelo gerenciador de senhas por meio de campos de preenchimento automático e outras informações diversas, como históricos de exibição do YouTube.
O ataque pode ser lançado contra Macs, iPhones e iPads que executam chips da série A ou M da Apple. Para macOS, o ataque só funciona no Safari, mas para iOS e iPadOS, há uma superfície de ataque muito maior.
Como a Apple exige que todos os navegadores da App Store sejam baseado em WebKitnavegadores de terceiros em dispositivos Apple, como Chrome e Firefox, são essencialmente apenas Safari com wrappers proprietários que adicionam funcionalidade e, portanto, são vulneráveis ao ataque.
Os pesquisadores divulgaram suas descobertas à Apple em 12 de setembro de 2022, 408 dias antes de divulgá-las publicamente.
Uma mitigação para o ataque está disponível para os usuários, mas os pesquisadores observaram que isso se aplica apenas ao macOS, não está habilitado por padrão e atualmente está marcado como instável.
Strong The One abordou a Apple para comentar, mas não recebeu resposta.
Como funciona o iLeakage
Colapso e Espectro são os dois ataques de canal lateral (SCAs) mais famosos e o iLeakage é semelhante no sentido de que os segredos são roubados após serem vazados por um canal lateral.
A maioria das vulnerabilidades é resultado da programação de software, mas os canais secundários são baseados em hardware e podem assumir várias formas. Os dados podem vazar através do som, dos trilhos de energia de um dispositivo, da radiação eletromagnética e de outros meios.
O canal lateral explorado em Vazamento está dentro do recurso de execução especulativa dos chips da Apple. Na verdade, a execução especulativa é um recurso da maioria das CPUs modernas que oferece benefícios de desempenho.
Envolve uma CPU que prevê quais tarefas serão exigidas antes que as instruções sejam dadas, tudo em uma tentativa de criar uma experiência mais rápida para o usuário final.
Uma parte fundamental da execução especulativa é que se a CPU prevê erroneamente uma tarefa – ela pensa que será solicitada a fazer alguma coisa, faz a primeira parte para acelerar as coisas, mas depois não é solicitada a fazê-la – a CPU deve reverter para o estado em que estava antes de realizar as pré-execuções.
Este é o mecanismo explorado pelos ataques Spectre, que envolvem a manipulação de CPUs para pré-executar instruções incorretas que dependem de dados confidenciais. Esses dados podem então ser inferidos através de um canal lateral mesmo depois que a CPU percebe seu erro e retorna ao estado anterior.
Desde que o Meltdown e o Spectre foram anunciados, os fornecedores de navegadores implementaram medidas para proteger seus produtos contra esses tipos de ataques. A Apple não é diferente e implementa uma série de medidas de proteção de canal lateral, incluindo isolamento de site, endereçamento de 35 bits e um temporizador de baixa resolução.
O isolamento de sites do Safari foi projetado para permitir que duas guias não compartilhem um processo de renderização, atribuindo um novo processo a cada guia até que a memória acabe.
Os ataques de execução especulativa dependem de um invasor ser capaz de coagir uma página alvo, como uma caixa de entrada do Gmail, para o espaço de endereço de um site malicioso controlado pelo invasor, que é usado para roubar os segredos da vítima.
Os pesquisadores conseguiram contornar essa contramedida de isolamento de site vinculando a API JavaScript window.open ao ouvinte de evento onmouseover, o que significa que eles foram capazes de abrir qualquer site que desejassem e extrair dados dele, desde que o cursor do usuário estivesse na página.
Apesar das contramedidas de isolamento do site que impedem que duas guias sejam renderizadas no mesmo processo, os pesquisadores descobriram que um site controlado pelo invasor pode chamar o método window.open e abrir a página de destino no mesmo processo, permitindo, por sua vez, que o SCA baseado em execução especulativa seja executado. ser realizado.
Esse é o primeiro avanço alcançado. A segunda foi contornar as contramedidas de endereçamento e posicionamento de valor de 35 bits do WebKit, explorando uma vulnerabilidade de confusão especulativa – algo que os pesquisadores acreditam ser a primeira vez no ecossistema da Apple.
Aqui, os pesquisadores criaram um primitivo que poderia ler e vazar especulativamente qualquer ponteiro de 64 bits no processo de renderização do Safari, disseram eles.
Finalmente, os temporizadores de baixa resolução do Safari também foram contornados de duas maneiras diferentes. Os pesquisadores criaram um gadget que poderia distinguir acertos de cache individuais de falhas de cache, mesmo com os temporizadores da Apple, e também desenvolveram uma variante sem temporizador baseada em condições de corrida.
Com todas as contramedidas ignoradas e as condições para um ataque de execução especulativo em vigor, uma exploração real disso dependeria de uma vítima visitar uma página da web controlada pelo invasor, configurada para explorar o iLeakage.
Em todos os ataques específicos, como no Gmail, a vítima já teria que ser registrada nesse serviço para que um invasor pudesse roubar informações.
No caso de roubo de credenciais de um gerenciador de senhas, isso depende do preenchimento automático funcionar em benefício do invasor. Os pesquisadores conseguiram demonstrar no Safari, em uma máquina com LastPass 4.107.1 instalado, as senhas poderiam ser roubadas de campos preenchidos automaticamente.
Isso só funcionaria se a vítima tivesse usado o recurso de preenchimento automático para fazer login antes, como Última passagem Requer interação do usuário ao obter credenciais de preenchimento automático para um serviço pela primeira vez.
As mensagens de texto também podem ser roubadas se a vítima usar um telefone Android emparelhado com a plataforma Google Messages. Os pesquisadores mostraram que, ao abrir o Mensagens do Google em um navegador, um invasor pode vazar mensagens de texto sem atingir o próprio telefone.
A aplicabilidade deste ataque no mundo real é bastante baixa. Para começar, a maioria dos usuários fechava uma guia que não abria quase imediatamente. Dado que é necessário para um ataque iLeakage, é uma grande limitação.
Em cenários de ataque no iPad, por exemploos pesquisadores mostraram que, para roubar dados do Gmail, a vítima teria que visitar um site controlado pelo invasor e tocar em algum lugar desse site que abriria o seu Gmail caixa de entrada em uma nova guia.
Novamente, para muitos, isso dispararia alarmes e levaria o usuário a desligar ambos os sites, encerrando o ataque.
A velocidade da exfiltração de dados também é bastante glacial. Os pesquisadores conseguiram extrair segredos a uma taxa de 24 a 32 bits por segundo e, a julgar pelas demonstrações em vídeo, foram necessários cinco minutos para que o site controlado pelo invasor recuperasse os dados visados, limitando as aplicações do iLeakage no mundo real.
Sem surpresa, os pesquisadores disseram que não estavam cientes de que esse ataque fosse explorado antes, não apenas pela velocidade dele, mas também pelo alto grau de entendimento técnico necessário para executá -lo.
Dito isto, a precisão da exfiltração de dados foi impressionante e variou entre 90 e 99 por cento, dependendo do dispositivo alvo, disseram-nos. Se o invasor conseguisse enganar um usuário para que esse ataque demorado ocorresse em seu dispositivo, ele teria certeza de que qualquer coisa retornada seria valiosa. ®
.
