Kaspersky-Analyse zu iPhone-Hack
Hardware-Feature ausschlaggebend für Operation Triangulation
Das Global Research and Analysis Team (GReAT) von Kaspersky hat ein bisher unbekanntes Hardware-Feature in Apple iPhones identifiziert, das ausschlaggebend für die sogenannte Operation Triangulation war.
Das GReAT-Team von Kaspersky hat nach eignen Angaben eine Schwachstelle in Apple System on a Chip (SoC) entdeckt, die bei den jüngsten Angriffen auf iPhones im Rahmen der sogenannten Operation Triangulation eine entscheidende Rolle gespielt hat. Sie ermöglichte es den Angreifern, den hardwarebasierenden Speicherschutz auf iPhones mit iOS-Versionen bis iOS 16.6 zu umgehen.
Bei der Schwachstelle CVE-2023-38606 handelt es sich um ein Hardware-Feature, das möglicherweise auf dem Prinzip „Security through Obscurity“ basiert und möglicherweise zum Testen oder Debuggen gedacht war, so die Forscher. Nach dem initialen Angriff über 0-Klick-iMessage und der darauffolgenden Rechteausweitung nutzten die Angreifer dieses Hardware-Feature, um hardwarebasierende Sicherheitsmaßnahmen zu umgehen und den Inhalt geschützter Speicherbereiche zu manipulieren. Dadurch erlangten die Angreifer die volle Kontrolle über das Gerät.
Dieses Feature war – sofern Kaspersky bekannt – nicht öffentlich dokumentiert, was die Erkennung und Analyse mit herkömmlichen Sicherheitsmethoden erschwerte. Die Experten im GReAT führten nach eigenen Angaben ein umfangreiches Reverse Engineering durch und analysierten die Hardware- und Softwareintegration des iPhones sorgfältig. Dabei konzentrierten sie sich insbesondere auf die Memory-Mapped-I/O-Adressen (MMIO), die für die effiziente Kommunikation zwischen der CPU und den Peripheriegeräten im System sorgen.
Dabei habe man keine unbekannten MMIO-Adressen, die von den Angreifern zur Umgehung des hardwarebasierenden Kernel-Speicherschutzes verwendet wurden, in den Device-Tree-Dateien identifiziert, was eine Herausforderung darstellte. Das Team musste auch die komplizierten Funktionsweisen des SoC und seine Interaktion mit dem iOS-Betriebssystem, darunter auch Speicherverwaltung und Schutzmechanismen, entschlüsseln. Dieser Prozess umfasste eine gründliche Untersuchung verschiedener Device-Tree-Dateien, Quellcodes, Kernel-Images und Firmware, um Hinweise auf diese MMIO-Adressen zu finden.
„Hierbei handelt es sich um keine gewöhnliche Schwachstelle“, so Boris Larin, Principal Security Researcher im GReAT bei Kaspersky. „Aufgrund der geschlossenen Natur des iOS-Ökosystems war die Erkennung dieser herausfordernd und zeitaufwendig. Sie erforderte ein umfassendes Verständnis sowohl der Hardware- als auch der Softwarearchitektur. Die Entdeckung der Schwachstelle zeigt, dass selbst fortschrittliche hardwarebasierende Schutzmaßnahmen angesichts eines raffinierten Angreifers wirkungslos sein können – insbesondere, wenn es Hardware-Features gibt, die es ermöglichen, diese Schutzmaßnahmen zu umgehen.“
Bei Operation Triangulation handelt es sich um eine Advanced-Persistent-Threat-Kampagne (APT), die auf iOS-Geräte abzielt und Anfang des Sommers von Kaspersky entdeckt wurde. Zum Angriffsszenario gehörten Zero-Click-Exploits, die über iMessage verbreitet wurden und es Angreifern ermöglichten, die Kontrolle über das Zielgerät zu erlangen und auf Nutzerdaten zuzugreifen.
Insgesamt identifizierten Kaspersky-Experten damals vier Zero-Day-Schwachstellen – CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 und CVE-2023-41990 – für die Apple Sicherheits-Updates zur Verfügung stellte. Diese Schwachstellen waren in einer Vielzahl an Apple-Produkten enthalten, darunter iPhones, iPods, iPads, macOS-Geräte, Apple TV und Apple Watch.
Kaspersky hat Apple über die Ausnutzung des Hardware-Features informiert. Apple hat die Schwachstelle demnach bereits behoben.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Vorerst kein „Apple Intelligence“ für EU
Nächste iPhones und Computer-Uhr von Apple erwartet
Fokus auf EDR und MDR
Sören Kohls leitet Channel-Vertrieb Deutschland bei Kaspersky
