Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Apple iPhone’larda daha önce bilinmeyen ve Operation Triangulation kampanyası için çok önemli olan bir donanım özelliğini ortaya çıkardı. Ekip bu keşfi Hamburg’da düzenlenen 37. Kaos İletişim Kongresi’nde sundu.
Kaspersky GReAT ekibi, Apple System on a chip veya SoC’de son iPhone saldırılarında kritik rol oynayan ve Operation Triangulation olarak bilinen, saldırganların iOS 16.6’ya kadar iOS sürümlerini çalıştıran iPhone’larda donanım tabanlı bellek korumasını atlamasına olanak tanıyan bir güvenlik açığı keşfetti. Keşfedilen güvenlik açığı, muhtemelen “belirsizlik yoluyla güvenlik” ilkesine dayanan bir donanım özelliği ve test veya hata ayıklama için tasarlanmış olabilir. İlk 0 tıklamalı iMessage saldırısının ve ardından ayrıcalık yükseltmenin ardından, saldırganlar donanım tabanlı güvenlik korumalarını atlamak ve korumalı bellek bölgelerinin içeriğini değiştirmek için bu donanım özelliğinden yararlandılar. Bu adım, cihaz üzerinde tam kontrol elde etme noktasında çok önemliydi. Apple, CVE-2023-38606 olarak tanımlanan bu sorunu ele aldı.
Kaspersky’nin bildiği kadarıyla, bu özellik kamuya açık bir şekilde belgelenmemişti ve geleneksel güvenlik yöntemleri kullanılarak tespiti ve analizi önemli bir zorluk teşkil ediyordu. GReAT araştırmacıları, iPhone’un donanım ve yazılım entegrasyonunu titizlikle analiz ederek kapsamlı bir tersine mühendislik çalışması yürüttü ve özellikle CPU ile sistemdeki çevresel cihazlar arasında verimli iletişimi kolaylaştırmak için kritik öneme sahip olan Bellek Eşlemeli I/O veya MMIO adreslerine odaklandı. Saldırganlar tarafından donanım tabanlı çekirdek bellek korumasını atlamak için kullanılan bilinmeyen MMIO adresleri, herhangi bir cihaz aralığında tanımlanmamıştı ve bu da önemli bir zorluk teşkil ediyordu. Ekibin ayrıca SoC’nin karmaşık işleyişini ve özellikle bellek yönetimi ve koruma mekanizmalarıyla ilgili olarak iOS işletim sistemiyle etkileşimini deşifre etmesi gerekiyordu. Bu süreç, bu MMIO adreslerine herhangi bir referans bulma arayışında çeşitli cihaz dosyalarının, kaynak kodlarının, çekirdek görüntülerinin ve ürün yazılımının kapsamlı bir incelemesini içeriyordu.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Boris Larin, şu bilgiyi paylaştı:
“Bu sıradan bir güvenlik açığı değil. iOS ekosisteminin kapalı yapısı nedeniyle, keşif süreci hem zorlu hem de zaman alıcıydı. Ayrıca hem donanım hem yazılım mimarilerinin kapsamlı bir şekilde anlaşılmasını gerektiriyordu. Bu keşfin bize bir kez daha öğrettiği şey, gelişmiş donanım tabanlı korumaların bile sofistike bir saldırgan karşısında etkisiz hale getirilebileceğiydi. Özellikle de bu korumaları atlamaya izin veren donanım özellikleri söz konusu olduğunda.”
“Operation Triangulation”, bu yazın başlarında Kaspersky tarafından ortaya çıkarılan, iOS cihazlarını hedef alan bir Gelişmiş Kalıcı Tehdit (APT) kampanyasıydı. Bu sofistike kampanya, iMessage aracılığıyla dağıtılan sıfır tıklama açıklarını kullanarak saldırganların hedeflenen cihaz üzerinde tam kontrol sahibi olmasını ve kullanıcı verilerine erişimini sağlıyor. Apple, Kaspersky araştırmacıları tarafından tespit edilen dört sıfır gün açığını gidermek için güvenlik güncellemeleri yayınlayarak yanıt verdi: CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 ve CVE-2023-41990. Bu güvenlik açıkları iPhone’lar, iPod’lar, iPad’ler, macOS aygıtları, Apple TV ve Apple Watch dahil olmak üzere geniş bir Apple ürün yelpazesini etkiliyor. Kaspersky ayrıca Apple’ı donanım özelliğinin istismarı hakkında bilgilendirerek şirket tarafından bu konunun ele alınmasını sağladı.