iPhone: zdalne wykonanie kodu bez interakcji z użytkownikiem, czyli niewinna luka z hotspotem „%p%s%s%s%s%n”

Jakiś czas temu pisaliśmy o ciekawym znalezisku badacza bezpieczeństwa Carla Schou:

After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3

— Carl Schou (@vm_call) June 18, 2021

Dołączenie do hotspota o SSID „%p%s%s%s%s%n” sprawiało, że nasz iPhone nie był w stanie nawiązać połączenia z Wi-Fi, nawet jeśli został on ponownie uruchomiony lub gdy nazwa feralnego hotspota została zmieniona. Według Carla wykorzystanie wyżej wspomnianego błędu w praktyce było niemożliwe (nie licząc dowcipnisiów, chcących utrudnić życie innym):

Jak jednak wynika z raportu firmy ZecOps, uzyskanie tzw. RCE (zdalne wykonanie kodu) za pomocą luki znalezionej przez Schou było jak najbardziej osiągalne:

Według badaczy nasz „cel” musi jedynie włączyć Wi-Fi w swoim iPhonie. Mamy więc do czynienia z podatnością typu “zero click”, czyli taką, która nie wymaga interakcji ze strony ofiary:

Testerzy bezpieczeństwa z ZecOps twierdzą, że jedną z ciekawszych taktyk na „uzbrojenie” podatności stanowi Beacon Flooding:

Warto dodać, że podatności typu “zero click” w iOS jest znacznie więcej, czego żywym przykładem mogą być najnowsze doniesienia w sprawie Pegasusa:

(1) @AmnestyTech saw an iOS 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. We at @citizenlab also saw 14.6 device hacked with a zero-click iMessage exploit to install Pegasus. All this indicates that NSO Group can break into the latest iPhones.

— Bill Marczak (@billmarczak) July 18, 2021

~ Jakub Bielaszewski