
El hacker de sombrero blanco de Google Project Zero, Ian Beer, reveló el martes los detalles de un error crítico de iOS ahora parcheado que podría haber hecho posible que un atacante remoto obtuviera el control completo de cualquier dispositivo cercano a través de Wi-Fi.
El exploit permite «ver todas las fotos, leer todos los correos electrónicos, copiar todos los mensajes privados y monitorear todo lo que sucede en [the device] en tiempo real «, dijo Beer en una larga publicación de blog que detalla sus esfuerzos de seis meses para construir una prueba de concepto sin ayuda de nadie.
Apple solucionó la falla (registrada como CVE-2020-3843) en una serie de actualizaciones de seguridad impulsadas como parte de iOS 13.3.1, macOS Catalina 10.15.3 y watchOS 5.3.7 a principios de este año.
«Un atacante remoto puede causar la terminación inesperada del sistema o dañar la memoria del kernel», señaló el fabricante del iPhone en su aviso, y agregó que «el problema de la corrupción de la memoria se solucionó con una validación de entrada mejorada».
La vulnerabilidad se deriva de un «error de programación de desbordamiento de búfer bastante trivial» en un controlador Wi-Fi asociado con Apple Wireless Direct Link (AWDL), un protocolo de red de malla patentado desarrollado por Apple para su uso en AirDrop, AirPlay, entre otros, que permite comunicaciones más fáciles. entre dispositivos Apple.
En pocas palabras, el exploit de cero clic utiliza una configuración que consta de un iPhone 11 Pro, Raspberry Pi y dos adaptadores Wi-Fi diferentes para lograr la lectura y escritura arbitraria de la memoria del kernel de forma remota, aprovechándola para inyectar cargas útiles de shellcode en la memoria del kernel a través de un proceso víctima y escapar de las protecciones de la zona de pruebas del proceso para apoderarse de los datos del usuario.
Dicho de otra manera, el atacante apunta al marco AirDrop BTLE para habilitar la interfaz AWDL forzando brutamente el valor hash de un contacto de una lista de 100 contactos generados aleatoriamente almacenados en el teléfono, luego explota el desbordamiento del búfer AWDL para obtener acceso al dispositivo y ejecutar un implante como root, dando a la parte malintencionada control total sobre los datos personales del usuario, incluidos correos electrónicos, fotos, mensajes, datos de iCloud y más.
Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, el investigador señaló que «los proveedores de exploits parecieron darse cuenta de estas correcciones».
Esta no es la primera vez que se descubren fallas de seguridad en el protocolo AWDL de Apple. En julio pasado, investigadores de la Universidad Técnica de Darmstadt, Alemania, revelaron vulnerabilidades en AWDL que permitieron a los atacantes rastrear usuarios, bloquear dispositivos e incluso interceptar archivos transferidos entre dispositivos a través de ataques de intermediario (MitM).
Synacktiv detalla el día cero parcheado de Apple «Memory Leak»
Eso no es todo. En un desarrollo separado, Synacktiv compartió más detalles sobre CVE-2020-27950, una de las tres fallas explotadas activamente que Apple corrigió el mes pasado luego de un informe de Google Project Zero.
Si bien las divulgaciones fueron breves en detalles, las vulnerabilidades fueron el resultado de un problema de corrupción de memoria en la biblioteca FontParser que permitió la ejecución remota de código, una fuga de memoria que otorgó privilegios de kernel de una aplicación maliciosa para ejecutar código arbitrario y una confusión de tipo en el núcleo.
Al comparar los dos binarios del kernel asociados con iOS 12.4.8 y 12.4.9, los investigadores de Synacktiv pudieron rastrear las raíces del problema de fuga de memoria, señalando explícitamente que los cambios abordan cómo el kernel maneja los mensajes mach asociados con la comunicación entre procesos en Dispositivos Apple.
Los investigadores también idearon un código de prueba de concepto que explota la falla para filtrar de manera confiable una dirección del kernel del puerto mach.
«Es bastante sorprendente cuánto tiempo ha sobrevivido esta vulnerabilidad en XNU sabiendo que el código es de código abierto y está fuertemente auditado por cientos de piratas informáticos», dijo Fabien Perigaud de Synacktiv.