iPhone: spyware sfrutta funzionalità hardware non documentate

Gli attacchi spyware Operation Triangulation che hanno preso di mira i dispositivi iPhone dal 2019 hanno sfruttato funzionalità non documentate nei chip Apple per aggirare le protezioni di sicurezza basate sull’hardware. A rivelarlo sono stati gli analisti di Kaspersky, che nell’ultimo anno hanno effettuato il reverse engineering della complessa catena di attacchi, cercando di portare alla luce tutti i dettagli alla base della campagna originariamente rivelata nel giugno 2023. La scoperta e l'utilizzo di funzionalità hardware probabilmente riservate al debug e ai test di fabbrica per lanciare attacchi spyware contro gli utenti di iPhone suggeriscono che la campagna è stata condotta da un sofisticato autore di minacce.

iPhone: come funziona la campagna Operation Triangulation

Operation Triangulation sfrutta quattro vulnerabilità zero-day concatenate insieme per creare un exploit zero-click. Ciò consente agli aggressori di elevare i privilegi ed eseguire codice da remoto. I quattro bug hanno funzionato su tutte le versioni iOS fino a iOS 16.2. Si tratta di: CVE-2023-41990, CVE-2023-32434, CVE-2023-32435 e CVE-2023-38606. Il primo è una vulnerabilità nell'istruzione del carattere ADJUST TrueType che consente l'esecuzione di codice in modalità remota tramite un allegato iMessage dannoso. Il secondo è un problema di overflow di numeri interi nelle chiamate di sistema di mappatura della memoria di XNU, che garantisce agli aggressori un ampio accesso in lettura/scrittura alla memoria fisica del dispositivo. Il terzo è utilizzato nell'exploit Safari per eseguire lo shellcode come parte dell'attacco a più fasi. Il quarto è invece una vulnerabilità che utilizza i registri MMIO hardware per bypassare il Page Protection Layer (PPL), ignorando le protezioni di sicurezza basate su hardware.

Gli attacchi iniziano con un allegato iMessage dannoso inviato alla vittima. L'intera catena è zero-click, ovvero non richiede invece interazione da parte dell'utente e non genera alcuna traccia evidente. Kaspersky ha scoperto l'attacco all'interno della propria rete e il servizio di intelligence russo (FSB) ha immediatamente accusato Apple di fornire alla NSA una backdoor contro il personale del governo russo e dell'ambasciata. Finora l’origine degli attacchi rimane sconosciuta e non ci sono prove di queste accuse. Apple ha corretto i due difetti zero-day allora riconosciuti (CVE-2023-32434 e CVE-2023-32435) il 21 giugno 2023, con il rilascio di iOS/iPadOS 16.5.1 e iOS/iPadOS 15.7.7. Il 24 luglio è poi stato risolta la vulnerabilità CVE-2023-38606, con il rilascio di iOS/iPadOS 16.6. Ad oggi Kaspersky non sa come gli aggressori siano venuti a conoscenza di tale meccanismo da sfruttare. Tuttavia, ricorda agli utenti che continuerà ad analizzare la campagna spyware per scoprire maggiori dettagli.