Odhalili najsofistikovanejší útok v histórii iPhonov. Hackeri vedia získať plnú kontrolu nad tvojím mobilom
Bezpečnostní výskumníci spoločnosti Kaspersky nedávno zverejnili podrobnosti o vysoko sofistikovanej zraniteľnosti iMessage, známej ako „Operácia Triangulation“, ktorá pretrvávala od roku 2019 až do vydania iOS 16.2 v decembri 2022.
Zneužitie, ktoré sa opisuje ako „doteraz najsofistikovanejší reťazec útokov“, využívalo komplexnú postupnosť štyroch zraniteľností nultého dňa na získanie oprávnení root na zariadení obete. Na tému upozornil portál 9to5Mac.
Útok sa začína zdanlivo neškodne
Zložitá útočná reťaz sa začala odoslaním zdanlivo neškodnej prílohy iMessage. Táto príloha využívala zraniteľnosť vzdialeného spustenia kódu (CVE-2023-41990) v inštrukcii ADJUST TrueType pre písmo TrueType, ktorú používa iba spoločnosť Apple. Následne sa pri zneužití využilo programovanie orientované na návrat/skok a viaceré fázy v dotazovacom jazyku NSExpression/NSPredicate, ktoré vyvrcholili zneužitím na zvýšenie oprávnení v jazyku JavaScript.
Exploit JavaScriptu s približne 11 000 riadkami skrytého kódu využíval funkciu DollarVM na manipuláciu s pamäťou JavaScriptCore a vykonávanie natívnych funkcií API. Podporoval staré aj nové iPhony, pričom v prípade najnovších modelov obsahoval obídenie kódu PAC (Pointer Authentication Code).
Využitím zraniteľnosti pretečenia celého čísla (CVE-2023-32434) v mapovaní pamäte syscallov XNU získali útočníci prístup na čítanie/zápis do celej fyzickej pamäte zariadenia na úrovni používateľa. Na obídenie vrstvy ochrany stránok (Page Protection Layer – PPL), zraniteľnosti zmiernenej ako CVE-2023-38606, použili hardvérové registre MMIO (Memory-Maped I/O).
Útočníci získali kontrolu nad zariadením
Po využití týchto zraniteľností exploit JavaScriptu poskytol útočníkom kontrolu nad zariadením, čo im umožnilo vykonávať rôzne akcie vrátane spúšťania spywaru. Pozoruhodné je, že útočníci sa rozhodli spustiť proces IMAgent, injektovať payload čistiaci artefakty zneužitia a spustiť neviditeľný proces Safari presmerovaný na webovú stránku s ďalšou fázou.
Ďalšie fázy zahŕňali skript webovej stránky overujúci obeť, po ktorom nasledovalo nasadenie exploitu Safari (CVE-2023-32435) vykonávajúceho shellkód. Tento shellkód, vykonávajúci ďalší exploit jadra, dosiahol oprávnenia root, čo umožnilo spustenie post-exploitačných utilít a načítanie spywaru do zariadenia.
Výskumníci zdôraznili svoj záväzok publikovať v roku 2024 ďalšie články, v ktorých sa hlbšie venujú jednotlivým zraniteľnostiam a ich zneužitiu. Napriek ich rozsiahlemu reverznému inžinierstvu zostáva v súvislosti s CVE-2023-38606 záhada, čo výskumníkov podnietilo k tomu, aby sa snažili o spoluprácu v rámci komunity zaoberajúcej sa bezpečnosťou systému iOS. V závere zdôraznili nedostatočnosť spoliehania sa na „bezpečnosť prostredníctvom utajenia“ a tvrdili, že skutočne bezpečné systémy musia uprednostňovať transparentnosť pred utajením.
Čítajte viac z kategórie: Smartfóny
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Slováci prestali kupovať drahé mobily. Tento smartfón za pár šupov kupujú viac než nový iPhone
Veľký štát chce zakázať sociálne siete. Jedna skupina ľudí kompletne stratí prístup
Google mení vyhľadávanie od základov. Umelá inteligencia bude všade
Apple konečne spustil nový CarPlay. Čoskoro ho dostanú aj Slováci (+PREHĽAD ZMIEN)
TEST: Vymenila som iPhone za najlacnejší Android. Už pri zapnutí prišiel šok, to však nebolo to najhoršie
NAJČÍTANEJŠIE ZO STARTITUP
Až 41 % šanca: La Niña mieri nad Európu, hrozia meteorológovia. Prinesie klimatický zvrat
Zabíja 3 z 5 pacientov. Pri Slovensku zachytili nebezpečnú kvasinku, odborníci varujú
Stratili raketové zuby a oči. USA zadržali kľúčové zbrane pre Ukrajinu, dôsledky môžu byť ničivé
Tragédia v Nemecku: Muž vrazil autom do ľudí, polícia nevylučuje zámer
Meteorológovia varujú aj pred výskytom supercelárnych búrok: Sobotné počasie potrápi tieto okresy
- 24 hod
- 48 hod
- 7 dní
-
- Lítium nadobro skončilo. Nové batérie dobijú zariadenie za pár sekúnd, vedci vyriešili posledný problém
- Chcú dobehnúť Čínu a predbehnúť EÚ. Nečakaná krajina sa pustila do výroby lacných elektromobilov
- Totálna nehoráznosť. Večný spojenec Ruska si z Ukrajiny spravil cvičisko rakiet a Západ nechápe
- Zničí všetko, čo mu stojí v ceste. Rusi vypustili 24 000-tonové jadrové monštrum, ktoré ovládne Arktídu
- Monštrá zachraňujú Európu pred mäsožravými Elfami. Slávny Cameron pripravuje uletené fantasy
-
- Zničí všetko, čo mu stojí v ceste. Rusi vypustili 24 000-tonové jadrové monštrum, ktoré ovládne Arktídu
- Totálna nehoráznosť. Večný spojenec Ruska si z Ukrajiny spravil cvičisko rakiet a Západ nechápe
- Úplne sa pomiatla. Umelá inteligencia povedala vedcom, že chce použiť jadrové zbrane
- Obrovský hit so Stallonem dostane nečakaného nástupcu. Uvidíš v ňom ďalšiu veľkú hviezdu
- Ukrajina našla novú zbraň proti ruským dronom. Geniálne „Cukríky“ rozdávajú všetkým vojakom
-
- Obrovský škandál na trhu. Automobilky klamú zákazníkov, predávajú „ojazdené“ autá špinavým trikom
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Totálna nehoráznosť. Večný spojenec Ruska si z Ukrajiny spravil cvičisko rakiet a Západ nechápe
- Spojenec Slovenska dostal ultimátnu zbraň. „Dračiemu ohňu“ neunikne ani jedna raketa, zasiahne aj mincu
- Najlepší akčný film 2025 práve pribudol online aj s dabingom. Dá sa pozrieť úplne zadarmo
Nemecko ustupuje od zelenej vlny. Fosílne palivá zatienili slnko aj vietor
Fuego opäť vybuchla. Sopka v Guatemale núti obyvateľov utekať pred skazou
Slovensko čelí veľkej AI výzve. Ak nič neurobíme, prehĺbime digitálnu priepasť
Trump kúpil Teslu na podporu Muska. Teraz otočil a chce ju predať
Zemetrasenie otriaslo známou púšťou. Tisíce domácností sú bez elektriny
NAJČÍTANEJŠIE ZO STARTITUP
Až 41 % šanca: La Niña mieri nad Európu, hrozia meteorológovia. Prinesie klimatický zvrat
Zabíja 3 z 5 pacientov. Pri Slovensku zachytili nebezpečnú kvasinku, odborníci varujú
Stratili raketové zuby a oči. USA zadržali kľúčové zbrane pre Ukrajinu, dôsledky môžu byť ničivé
Tragédia v Nemecku: Muž vrazil autom do ľudí, polícia nevylučuje zámer
Meteorológovia varujú aj pred výskytom supercelárnych búrok: Sobotné počasie potrápi tieto okresy
Copyright© 2025 by Startitup, s. r. o. Všetky práva vyhradené