Безбедносни експерти од неколку универзитети пронајдоа безбедносен пропуст во iOS и macOS кој би им овозможил на потенцијалните напаѓачи да пристап до чувствителни податоци. Зафатени со пропустот се и лозинките.
Нападот со кој е овозможен пристап е напад од спореден канал (side channel vulnerability). Пропустот е присутен на процесорите дизајнирани од Apple – А и M серија, што значи дека се зафатени и телефоните и таблет компјутерите, но и Mac.
Безбедносниот тим, составен од Џејсон Ким и Даниел Фекин (Институт за технологија – Џорџија), Стефан ван Шајк (Универзитетот Мичиген) и Јувал Јаром (Универзитет Бохум) креираа напад со кој од Safari можат да дојдат до лозинки, Gmail пораки и друга чувствителна содржина. Пропустот е наречен iLeakage и за извршување се потребни минимални ресурси, иако нападот е софистициран и за него се потребни исклучителни вештини и познавање на работата на процесорите на Apple.
iLeakage е „револуционерен“ од неколку аспекти. A и M процесорите имаат заштита за шпекулативно извршување која со помош на Safari е заобиколена. Нападот не користи тајминг туку „race condition“. Се користи функционалноста на WebKit да консолидира страници од различни домени во ист рендер процес.
Нападот е „side channel“ што значи дека за откривање на податоците се користи анализа на различни споредни карактеристики. Ова може да биде време на извршување, потрошена енергија, електромагнетно зрачење и слично. Практично со овие напади не се пробива заштитата туку се анализираат податоци кои често се незаштитени. Примери за овие напади се „Timing attack“ или „Power analysis attack“.
Во случајот со уредите на Apple споредниот канал кој се користи е „шпекулативно извршување“. Ако ви изгледа познато, во последниве неколку години имаше неколку пропусти во современите процесори кои го овозможуваат нападот.
Во контекст на шпекулативното извршување „race condition“ настанува кога резултатот на повеќе инструкции кои шпекулативно се извршуваат зависи од друга инструкција, но редоследот по кој се извршуваат инструкциите не е загарантиран. Ако претпоставениот резултат на првата инструкција е погрешен, може до доведе до погрешни резултати во следните инструкции, што може да доведе до безбедносен пропуст. Веројатно најпознат пропуст од овој тип е Spectre. Со внимателно креирање на низа инструкции, напаѓачите може да предизвикаат процесорот шпекулативно да изврши инструкции на чувствителни податоци.
Проблемите кои настануваат со шпекулативното извршување се поради потенцијалот за „истекување“ на податоците од шпекулативното извршување. Од низата злоупотреби на шпекулативното извршување, може да се донесе погрешна проценка дека е причина за пропустите. Ова не е случај, потребна е само подобра заштита на податоците.
Доказ на концептот
Безбедносните експерти кои го открија пропустот за да ја покажат опасноста креираа веб-страница. Страницата користи JavaScript за да отвори посебна веб-страница која ја одбира напаѓачот и ги прикажува повлечените податоци во посебен (Popup) прозорец.
Напаѓачите успеаја да повлечат информации од YouTube, Gmail, и лозинки кои автоматски се пополнуваат преку менаџер. Од Youtube напаѓачите повлекоа листа со историја на прегледани видеа, а од Gmail содржина на сандачето. За нападот се потребни 30 секунди за повлекување на 512-битен „secret“, на пример стринг од 64 карактери.
Нападот работи на Mac исклучиво со Safari. Уредите кои користат iOS се подложни на нападот без разлика кој прелистувач го користат бидејќи повлекувањето на податоците е преку Apple WebKit енџинот за прелистувачот. Процесорите на Apple имаат заштита од напади кои користат шпекулативно извршување, но за жал заштитата не е доволна и iLeakage може да дојде до податоци.
За повлекување на податоците од YouTube и Gmail е потребно корисникот да биде логиран на овие страници за време на нападот. Ист е случајот и со LastPass преку кој е овозможено крадењето на лозинки. Процесот е прилично долг, пред воопшто да започне повлекувањето податоци најпрво е потребно да поминат околу 5 минути во анализа. По ова со window.open метод се отвора било која друга страница и оттаму се симнуваат податоци со брзина од 23 до 35 b/s и точност од 90 до 99%.
За пропустот се тестирани повеќе процесори и на него се подложни A12Z Bionic, A13 Bionic, A14 Bionic, A15 Bionic, M1, M1 Pro, M1 Max и M2.
Започнaвме со потсетување дека додека Safari генерално следи строг модел процес по отворен таб, страниците отворени од функцијата window.open имаат ист процес на рендерирање со матичната страница.
Креиравме страница за напад која го врзува windows.open со onmouseover event listener. Ова ни овозможи да отвориме било која страница на оваа адреса се додека глувчето покажува на страницата. Дури и ако жртвата ја затвори страницата, содржината во меморијата не се брише веднаш, дозволувајќи му на нападот да продолжи да открива тајни.
Конечно, бидејќи window.open врши консолидација без оглед на потеклото на парент-страницата и на отворената веб-страници, ја хостираме страницата на напаѓачот на веб-сервер кој не е јавно достапен, а користиме window.open за консолидирање на страници од други домени.
Дури и жртвата да го забележи отворениот поп-ап прозорец и да го затвори, процесот е активен во меморијата и продолжува да испраќа податоци, пишува Ars Technica.
Добра вест е дека и покрај тоа што пропустот е сериозен досега нема никаков показател на активна злоупотреба. За разлика од голем дел од нападите, за овие кои користат шпекулативно извршување е потребно големо техничко познавање и долга анализа на работата на процесорите.
Ова е втор случај на пропуст со шпекулативно извршување на процесорите на Apple. Во јуни 2022 универзитетот MIT ја претстави PACMAN техниката за крадење на податоци на M1 чипот на Apple.
Видеа од демо напади со iLeakage
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
