"Operation Triangulation: शोधकर्ताओं के iPhone पर हमला करने से क्या हासिल होता है"

 (securelist.com)
1 पॉइंट द्वारा GN⁺ 2023-12-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें

'Operation Triangulation' अटैक चेन

  • एक malicious iMessage attachment भेजा जाता है, जिसे यूज़र की जानकारी के बिना application में प्रोसेस किया जाता है.
  • यह attachment undocumented, Apple-specific ADJUST TrueType font instruction की remote code execution vulnerability CVE-2023-41990 का उपयोग करता है.
  • return/jump-oriented programming और NSExpression/NSPredicate query language में लिखे गए multi-stage steps का उपयोग करके JavaScriptCore library environment को patch किया जाता है और JavaScript में लिखा privilege escalation exploit चलाया जाता है.
  • JavaScript exploit पूरी तरह से unreadable obfuscation के साथ है और इसका आकार न्यूनतम रखा गया है. लगभग 11,000 lines का कोड मुख्यतः JavaScriptCore और kernel memory parsing तथा manipulation के लिए समर्पित है.
  • JavaScriptCore की debugging feature DollarVM($vm) का उपयोग करके script से JavaScriptCore की memory को manipulate करने और native API functions को execute करने की क्षमता हासिल की जाती है.
  • इसे पुराने और नए दोनों iPhone मॉडल्स को support करने के लिए डिज़ाइन किया गया है, और नए मॉडल्स की vulnerability का फायदा उठाने के लिए Pointer Authentication Code(PAC) bypass भी शामिल है.
  • XNU के memory mapping system calls (mach_make_memory_entry और vm_map) में integer overflow vulnerability CVE-2023-32434 का उपयोग करके user level पर device की पूरी physical memory के लिए read/write access हासिल किया जाता है.
  • hardware memory-mapped I/O(MMIO) registers का उपयोग करके Page Protection Layer(PPL) को bypass किया जाता है. इसे CVE-2023-38606 द्वारा mitigate किया गया.
  • सभी vulnerabilities का उपयोग करने के बाद JavaScript exploit device पर मनचाहा काम कर सकता है. spyware चलाने के बजाय यह IMAgent process शुरू करता है और ऐसा payload inject करता है जो device से exploit के निशान मिटा दे, या Safari process को invisible mode में चलाकर अगले stage वाले web page पर भेज देता है.
  • web page में victim की पहचान करने वाली script होती है, और जाँच पास होने पर अगला stage यानी Safari exploit दिया जाता है.
  • Safari exploit CVE-2023-32435 का उपयोग करके shellcode execute करता है.
  • shellcode Mach object file के रूप में एक और kernel exploit चलाता है. यह CVE-2023-32434 और CVE-2023-38606 जैसी ही vulnerabilities का उपयोग करता है. आकार और functionality के लिहाज़ से यह बहुत बड़ा है, लेकिन JavaScript में लिखे kernel exploit से पूरी तरह अलग है. संबंधित हिस्से दोनों exploits में साझा हैं, लेकिन अधिकतर कोड kernel memory parsing और manipulation के लिए समर्पित है. इसमें कई post-compromise utilities शामिल हैं, हालांकि उनमें से अधिकांश का उपयोग नहीं होता.
  • exploit root privileges हासिल करता है और spyware लोड करने के लिए अन्य stages चलाता है.

रहस्य और CVE-2023-38606 vulnerability

  • हाल के iPhone models में kernel memory के sensitive क्षेत्रों के लिए अतिरिक्त hardware-based security protection मौजूद है.
  • यह protection इस बात को रोकती है कि हमलावर kernel memory को पढ़ और लिख सकें, फिर भी device का पूरा control न ले सकें.
  • हमलावर Apple द्वारा डिज़ाइन किए गए SoC की एक दूसरी hardware feature का उपयोग करके इस hardware-based security protection को bypass करते हैं.
  • हमलावर data, destination address और data hash को chip के उन unknown hardware registers में लिखकर hardware-based memory protection को bypass करते हैं, जिनका firmware में उपयोग नहीं होता.
  • अनुमान है कि यह unknown hardware feature शायद Apple engineers या factory में debugging या testing के लिए intended था, या फिर गलती से शामिल रह गया.

तकनीकी विवरण

  • SoC में मौजूद विभिन्न peripherals ऐसे special hardware registers प्रदान करते हैं जिनका उपयोग CPU इन devices को operate करने के लिए कर सकता है.
  • ये hardware registers उस memory में mapped होते हैं जिसे CPU access कर सकता है, और इसे "memory-mapped I/O(MMIO)" कहा जाता है.
  • Apple products (iPhone, Mac आदि) के peripheral MMIO address ranges DeviceTree नामक विशेष file format में संग्रहीत होते हैं.
  • अटैक में उपयोग किए गए अधिकांश MMIO, DeviceTree में परिभाषित किसी भी MMIO range का हिस्सा नहीं हैं.
  • हमलावरों ने firmware में उपयोग न होने वाले MMIO का पता कैसे लगाया, और ये MMIO addresses किस peripheral से संबंधित हैं, यह स्पष्ट नहीं है.
  • यह पुष्टि हुई है कि ये MMIO registers GPU coprocessor से संबंधित हैं.
  • हमलावरों ने इन MMIO registers का उपयोग Page Protection Layer(PPL) को bypass करने और page table entries को patch करने के लिए किया.
  • hash calculation का तरीका अटैक में उपयोग की गई hardware feature को requested location पर direct memory access(DMA) operation करने देता है.

GN⁺ की राय

  • यह शोध iPhone को लक्ष्य बनाने वाली एक अत्यंत परिष्कृत अटैक चेन को उजागर करता है. यह security researchers के लिए बहुत महत्वपूर्ण खोज है और Apple products की security मजबूत करने में योगदान दे सकती है.
  • हमलावरों ने firmware में उपयोग न होने वाली hardware feature का पता कैसे लगाया, यह अब भी एक रहस्य है. यह hardware security research के महत्व को रेखांकित करता है.
  • यह लेख software और hardware security में रुचि रखने वालों के लिए बेहद दिलचस्प सामग्री प्रदान करता है. अत्यधिक जटिल attack methods और उनका analysis, security research की गहराई और आवश्यकता को दिखाते हैं.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-12-28
Hacker News राय

  • MMIO के दुरुपयोग पर हैरानी

    • हमलावरों के पास बेहद शानदार रिसर्च क्षमता रही होगी, या अधिक संभावना यह है कि उन्होंने Apple को हैक करके अंदरूनी हार्डवेयर दस्तावेज़ हासिल किए होंगे।
    • Apple को पता था कि यह फीचर ख़तरनाक है, और उसने इसे छिपाया तथा digital signature फीचर से अतिरिक्त सुरक्षा दी।
    • silicon teardown और reverse engineering के बिना इस फीचर को ढूंढना असंभव है, इसलिए डेवलपर को हैक करके अंदरूनी दस्तावेज़ चुराने की संभावना है।
    • Safari के ज़रिए दूसरी vulnerability chain का उपयोग करके दोबारा हैक करने का तरीका यह संकेत देता है कि अंदर से यह बहुत अलग-अलग हिस्सों में बंटा हुआ बड़ा संगठन है।
    • शोधकर्ताओं के रूसी होने को देखते हुए, यह संभवतः NSA या GCHQ का काम है।
    • malware ad tracking को सक्रिय कर सकता है और security researchers द्वारा अक्सर उपयोग की जाने वाली cloud iPhone service hosting का पता लगा सकता है।
    • iOS/macOS malware platform 10 साल से अधिक समय से विकसित किया गया है, और यह image bytes अपलोड किए बिना डिवाइस पर ही फोटो के object recognition और OCR के लिए ML का उपयोग करता है।
    • मैं इस दावे से सहमत नहीं हूँ कि security through obscurity प्रभावी नहीं होती। यह platform 10 साल तक बिना जाने इस्तेमाल होता रहा है।

  • Steve Weis का Twitter सारांश

    • iMessage vulnerability चौंकाने वाली है; इसमें 90 के दशक से मौजूद TrueType vulnerability, 2 kernel vulnerabilities, browser vulnerability, और रिलीज़ किए गए software में उपयोग न की गई undocumented hardware feature शामिल है।

  • Coresight के बारे में व्याख्या

    • Coresight backdoor नहीं है, बल्कि हर ARM CPU की debug feature है।
    • यह संभवतः Apple की memory protection feature के साथ काम करने के लिए आवश्यक Coresight extension लगता है।
    • भले ही सार्वजनिक दस्तावेज़ उपलब्ध नहीं हैं, फिर भी Apple के हज़ारों engineers के पास modified gdb या दूसरे tools की पहुँच हो सकती है जो इसका उपयोग कर सकें।

  • MMIO register खोजे जाने की संभावना पर अटकल

    • यह सवाल कि क्या सभी register addresses को random तरीके से खोजकर MMIO registers खोजे जा सकते थे।
    • सिर्फ timing difference से वैध address का पता चल सकता था, और 20-bit hash को भी brute force से तोड़ा जा सकता था।

  • chip debugging feature में data hash के उपयोग पर सवाल

    • उस debugging feature में hash के उद्देश्य पर सवाल, जिसे production में disable होना चाहिए।
    • मैं electrical engineer नहीं हूँ, लेकिन debugging feature का सरल और तेज़ी से काम करना, ताकि हस्तक्षेप कम हो, सबसे अच्छा होता है।
    • यह बहुत कम संभावना है कि कोई supply chain attacker इसे सभी Apple chips में लगा सका हो।

  • hash algorithm की विशेषताओं पर टिप्पणी

    • जब सारा data 0 हो तो hash value 0 होती है, और single bit के लिए sbox table में एक single value होती है।
    • ऐसे hash algorithm को अंदरूनी दस्तावेज़ों के बिना भी reverse engineer किया जा सका होगा।

  • हमलावरों की मेहनत पर आश्चर्य

    • क्या ऐसे हमलावरों को यह शिकायत होती होगी कि उन्हें अपने काम का श्रेय नहीं मिलता?

  • हमलावरों द्वारा उपयोग किए गए फीचर पर व्याख्या

    • हमलावर hardware-based memory protection को bypass करके विशेष physical addresses पर data लिख सकते हैं।
    • तरीका यह है कि firmware में उपयोग न होने वाले chip के अज्ञात hardware registers में data, destination address, और data hash लिखा जाए।

  • नई खोजी गई vulnerability के महत्व पर टिप्पणी

    • नई vulnerability हासिल करने से ज़्यादा महत्वपूर्ण यह जानना है कि क्या आपकी अपनी vulnerability compromise हो सकती है।
    • इससे counterintelligence operations को रोका जा सकता है।