Apple iOS ‘Zero Interaction’ iPhone-kwetsbaarheden ontdekt en gedemonstreerd door Google-beveiligingsonderzoekers van Project Zero
Apple iOS, het standaardbesturingssysteem voor alle iPhones, bevatte zes kritieke "Zero Interaction" -kwetsbaarheden. Het eliteteam van Google, ‘Project Zero’, dat jaagt op ernstige bugs en softwarefouten, ontdekte hetzelfde. Interessant is dat het beveiligingsonderzoeksteam van Google ook met succes de acties heeft gerepliceerd die kunnen worden uitgevoerd met behulp van de beveiligingsfouten in het wild. Door deze bugs kan elke aanvaller op afstand mogelijk administratieve controle over de Apple iPhone overnemen zonder dat de gebruiker iets anders hoeft te doen dan een bericht ontvangen en openen.
Apple iPhone-besturingssysteemversies vóór iOS 12.4 bleken vatbaar te zijn voor zes "interactieloze" beveiligingsbugs, ontdekte Google. Twee leden van het Google Project Zero hebben details gepubliceerd en zelfs met succes Proof-of-Concept gedemonstreerd voor vijf van de zes kwetsbaarheden. De beveiligingsfouten kunnen als vrij ernstig worden beschouwd, simpelweg omdat ze zo min mogelijk acties vereisen die door het potentiële slachtoffer worden uitgevoerd om de beveiliging van de iPhone in gevaar te brengen. Het beveiligingsprobleem heeft gevolgen voor het iOS-besturingssysteem en kan worden misbruikt via de iMessage-client.
Google volgt ‘verantwoorde praktijken’ en informeert Apple over de ernstige beveiligingsfouten in iPhone iOS:
Google zal details over de beveiligingsproblemen in de Apple iPhone iOS onthullen tijdens de Black Hat-beveiligingsconferentie in Las Vegas volgende week. De zoekgigant handhaafde echter zijn verantwoorde praktijk om respectieve bedrijven te waarschuwen voor mazen in de beveiliging of achterdeurtjes, en meldde de problemen eerst aan Apple zodat het patches kon uitgeven voordat het team de details openbaar maakte.
Apple nam kennis van de ernstige beveiligingsbugs en haastte zich naar verluidt om de bugs te patchen. Het is echter misschien niet helemaal gelukt. Details over een van de "interactieloze" kwetsbaarheden zijn privé gehouden omdat Apple de bug niet volledig heeft opgelost. De informatie over hetzelfde werd aangeboden door Natalie Silvanovich, een van de twee Google Project Zero-onderzoekers die de bugs ontdekten en rapporteerden.
De onderzoeker merkte ook op dat vier van de zes beveiligingsbugs kunnen leiden tot de uitvoering van kwaadaardige code op een extern iOS-apparaat. Wat nog zorgwekkender is, is het feit dat deze bugs geen gebruikersinteractie nodig hadden. De aanvallers hoeven alleen maar een specifiek gecodeerd, misvormd bericht naar de telefoon van het slachtoffer te sturen. De schadelijke code kan zichzelf dan gemakkelijk uitvoeren nadat de gebruiker het bericht heeft geopend om het ontvangen item te bekijken. Met de andere twee exploits kan een aanvaller gegevens uit het geheugen van een apparaat lekken en bestanden van een extern apparaat lezen. Verrassend genoeg hadden zelfs deze bugs geen gebruikersinteractie nodig.
Apple kon met succes slechts vijf van de zes ‘Zero Interaction’ beveiligingslekken in iPhone iOS repareren?
Alle zes de beveiligingsfouten zouden vorige week, op 22 juli, met succes zijn verholpen met de iOS 12.4-release van Apple. Dat lijkt echter niet het geval te zijn. De beveiligingsonderzoeker heeft opgemerkt dat Apple er slechts in is geslaagd om vijf van de zes beveiligingslekken "Zero Interaction" in de iPhone iOS op te lossen. Toch zijn details van de vijf bugs die zijn gepatcht online beschikbaar. Google heeft hetzelfde aangeboden via zijn bugrapportagesysteem.
De drie bugs die uitvoering op afstand mogelijk maakten en administratieve controle over de iPhone van het slachtoffer verleenden, zijn CVE-2019-8647, CVE-2019-8660 en CVE-2019-8662. De gekoppelde bugrapporten bevatten niet alleen technische details over elke bug, maar ook proof-of-concept code die kan worden gebruikt om exploits te maken. Aangezien Apple er niet in is geslaagd de vierde bug uit deze categorie met succes te patchen, zijn de details ervan vertrouwelijk behandeld. Google heeft dit beveiligingsprobleem getagd als CVE-2019-8641.
Google heeft de vijfde en zesde bugs getagd als CVE-2019-8624 en CVE-2019-8646. Door deze beveiligingsfouten kan een aanvaller mogelijk gebruikmaken van de privégegevens van het slachtoffer. Deze zijn vooral zorgwekkend omdat ze gegevens uit het geheugen van een apparaat kunnen lekken en bestanden van een extern apparaat kunnen lezen zonder dat het slachtoffer enige interactie nodig heeft.
Met iOS 12.4 heeft Apple mogelijk met succes alle pogingen geblokkeerd om iPhones op afstand te bedienen via het kwetsbare iMessage-platform. Het bestaan en de openlijke beschikbaarheid van proof-of-concept-code betekent echter dat hackers of kwaadwillende codeerders nog steeds iPhones kunnen misbruiken die niet zijn bijgewerkt naar iOS 12.4. Met andere woorden, hoewel het altijd wordt aanbevolen om beveiligingsupdates te installeren zodra deze beschikbaar komen, is het in dit geval van cruciaal belang om de nieuwste iOS-update die Apple heeft uitgebracht zonder enige vertraging te installeren. Veel hackers proberen kwetsbaarheden te misbruiken, zelfs nadat ze zijn gepatcht of gerepareerd. Dit komt omdat ze zich er terdege van bewust zijn dat er een hoog percentage apparaateigenaren is die niet onmiddellijk updaten of het updaten van hun apparaten gewoon uitstellen.
Ernstige beveiligingsfouten in iPhone iOS zijn behoorlijk lucratief en financieel lonend op het dark web:
De zes "Zero Interaction" beveiligingslekken werden ontdekt door Silvanovich en collega Google Project Zero-beveiligingsonderzoeker Samuel Groß. Silvanovich zal een presentatie geven over externe en "interactieloze" iPhone-kwetsbaarheden op de Black Hat-beveiligingsconferentie die volgende week in Las Vegas zal plaatsvinden.
‘Nul-interactie’Of‘wrijvingsloos’Kwetsbaarheden zijn bijzonder gevaarlijk en een bron van grote bezorgdheid bij beveiligingsexperts. Een klein fragment over de toespraak die Silvanovich op de conferentie zal houden, benadrukt de bezorgdheid over dergelijke beveiligingsfouten in iPhone iOS. “Er gaan geruchten dat kwetsbaarheden op afstand die geen gebruikersinteractie vereisen, worden gebruikt om de iPhone aan te vallen, maar er is beperkte informatie beschikbaar over de technische aspecten van deze aanvallen op moderne apparaten. Deze presentatie verkent het externe, interactieloze aanvalsoppervlak van iOS. Het bespreekt het potentieel voor kwetsbaarheden in sms, mms, visuele voicemail, iMessage en e-mail, en legt uit hoe tooling kan worden ingesteld om deze componenten te testen. Het bevat ook twee voorbeelden van kwetsbaarheden die met deze methoden zijn ontdekt. "
De presentatie wordt een van de meest populaire op de conventie, vooral omdat iOS-bugs zonder gebruikersinteractie zeer zeldzaam zijn. De meeste iOS- en macOS-exploits zijn afhankelijk van het succesvol misleiden van het slachtoffer om een app te draaien of het onthullen van hun Apple ID-inloggegevens. Een bug zonder interactie vereist alleen het openen van een besmet bericht om de exploit te starten. Dit verhoogt de kans op infectie of inbreuk op de beveiliging aanzienlijk. De meeste smartphonegebruikers hebben beperkte schermruimte en openen uiteindelijk berichten om de inhoud te controleren. Een slim opgestelde en goed geformuleerde boodschap verhoogt vaak exponentieel de waargenomen authenticiteit, waardoor de kans op succes nog groter wordt.
Silvanovich zei dat dergelijke kwaadaardige berichten kunnen worden verzonden via sms, mms, iMessage, e-mail of zelfs visuele voicemail. Ze hoefden alleen maar in de telefoon van het slachtoffer te komen en te worden geopend. "Dergelijke kwetsbaarheden zijn de heilige graal van een aanvaller, waardoor ze ongemerkt de apparaten van slachtoffers kunnen hacken." Overigens bleken tot op de dag van vandaag dergelijke minimale of "Zero Interaction" beveiligingslekken alleen te zijn gebruikt door exploitanten en makers van legale onderscheppingsinstrumenten en bewakingssoftware. Dit betekent gewoon zoiets zeer geavanceerde bugs die de minste argwaan wekken, worden voornamelijk ontdekt en verhandeld door softwareleveranciers die op het Dark Web opereren. Enkel en alleen door de staat gesponsorde en gerichte hackgroepen hebben er doorgaans toegang toe. Dit komt omdat verkopers die dergelijke gebreken in handen krijgen, ze voor enorme sommen geld verkopen.
Volgens een door Zerodium gepubliceerde prijsgrafiek kunnen dergelijke kwetsbaarheden die op het Dark Web of de zwarte software-markt worden verkocht, elk meer dan $ 1 miljoen kosten. Dit betekent dat Silvanovich mogelijk details heeft gepubliceerd over beveiligingsexploitaties die illegale softwareleveranciers ergens tussen de $ 5 miljoen en $ 10 miljoen in rekening hebben gebracht. Crowdfense, een ander platform dat met beveiligingsinformatie werkt, beweert dat de prijs gemakkelijk veel hoger had kunnen zijn. Het platform baseert zijn aannames op het feit dat deze gebreken deel uitmaakten van “aanvalsketen zonder klikken”. Bovendien werkten de kwetsbaarheden op recente versies van iOS-exploits. Gecombineerd met het feit dat het er zes waren, had een exploitverkoper gemakkelijk meer dan $ 20 miljoen voor het perceel kunnen verdienen.