Kompletnie hackowali iPhone-y… wysłanym PDFem. Podatność istniała w systemach Apple od lat 90-tych.

Czy samo otwarcie PDFa może cokolwiek zainfekować? Najczęściej nie. Czy samo wysłanie PDFa może cokolwiek zainfekować? Tym bardziej nie! Jednak ta historia to wyjątek od wyjątku. Badacze z Kasperskiego analizowali przez ~pół roku skuteczny, praktycznie niewidzialny atak na firmowe iPhone-y.

Od strony atakującego-infekującego sprawa była prosta (tzn. prosta w momencie kiedy mieli już gotowego exploita) – wysyłali za pomocą iMessage PDFa. Telefon ofiary przygotowywał podgląd tego PDFa, więc go w tle otwierał. W PDFie zaszyty był złośliwy font i tu dochodzimy do dziury, która istniała w systemach Apple „od lat 90-tych” – kod odpowiedzialny za renderowanie fontu był podatny i można było dzięki niemu wykonać wrogi kod w systemie ofiary.

A to tylko początek całego ciągu podatności składającego się na pełen exploit. Wspomniane wyżej wykonanie kodu prawie „nic nie mogło” – ale atakujący uzyskali dzięki niemu możliwość uruchomienia przeglądarki Safari (w trybie niewidzialnym dla użytkownika) i skierowania jej na złośliwą stronę. Dopiero tutaj następowało finalne zainfekowanie telefonu.

Całość wygląda na dość skomplikowaną akcję (i taka była), co sugeruje że atakujący zdecydowanie nie byli przypadkowymi, niedzielnymi hackerami. Mimo to popełnili parę błędów, np. w trakcie czyszczenia śladów po swoich działaniach, zapomnieli o jednym dość istotnym pliku…:

Jeszcze inna ciekawostka – w toku ataku, napastnicy usuwali wysłane przez siebie wiadomości iMessage, w dość prosty (ale też ~podatny sposób). Analizowali loginy nadawców poprzez ich hashe MD5. Same hashe udało się badaczom odzyskać. Wystarczyło je więc złamać i… mamy loginy (Apple ID) napastników!

W sumie wykorzystano aż 4 podatności 0day, w tym jedną, która wynikała z pewnego ficzera, który prawdopodobnie Apple przypadkowo zostawił w swoich urządzeniach, a który służył do debugowania / testowania:

Our guess is that this unknown hardware feature was most likely intended to be used for debugging or testing purposes by Apple engineers or the factory, or that it was included by mistake. Because this feature is not used by the firmware, we have no idea how attackers would know how to use it.

Z innych ciekawostek, atakujący korzystali pośrednio z silnika uczenia maszynowego, dostępnego na iPhonach, który oznaczał co jest widoczne na zdjęciach wykonywanych z telefonu. Odpowiednie wygenerowane przez telefon słowa kluczowe (np. „wydruk”, „informacje poufne”) były wysyłane do atakujących i była podejmowana decyzja czy dane zdjęcie jest interesujące do pobrania z telefonu ofiary bądź niekoniecznie.

Badacze pytani o atrybucję ataku, nie wskazują na konkretną organizację.

Na koniec – Kaspersky udostępnia narzędzie, którym można sprawdzić czy dany telefon był (jest) zainfekowany (analiza backupu telefonu; warto pamiętać że narzędzie jest rosyjskiej produkcji, więc ostrzegamy przed bezrefleksyjnym jego ściąganiem i odpalaniem, przy czym najpewniej nie ma w nim nic podejrzanego).

~ms