Хакер #305. Многошаговые SQL-инъекции
Эксперт Google Project Zero Иен Бир (Ian Beer) продемонстрировал эксплоит для взлома iOS-устройств «по воздуху». Лежащая в его основе критическая уязвимость CVE-2020-3843, обнаруженная исследователем, позволяла удаленно похитить конфиденциальные данные с любого устройства в зоне доступа Wi-Fi и не требовала какого-либо взаимодействия с пользователем.
Эксплоит, над которым Бир в одиночку работал полгода, позволяет «просматривать все фотографии, читать всю электронную почту, копировать все личные сообщения и отслеживать все, что происходит на [устройстве] в режиме реального времени».
Так как инженеры Apple исправили проблему еще весной текущего года (в рамках iOS 13.3.1, macOS Catalina 10.15.3 и watchOS 5.3.7), теперь исследователь подробно описал суть проблемы и даже продемонстрировал вышеописанную атаку в действии.
Бир рассказывает, что корень проблемы был связан с «довольно тривиальной ошибкой переполнения буфера» в драйвере Wi-Fi, относящемся к с Apple Wireless Direct Link (AWDL), проприетарному сетевому протоколу, разработанному Apple для использования с AirDrop, AirPlay и так далее, который был призван упростить обмен данными между устройствами Apple.
Видео ниже показывает, как, используя iPhone 11 Pro, Raspberry Pi и два адаптера Wi-Fi, исследователь добился удаленного чтения и записи произвольной памяти ядра. Бир использовал все это для внедрения шеллкода в память ядра через эксплуатацию процесса-жертвы, побега из песочницы и получения пользовательских данных.
По сути, потенциальному злоумышленнику требовалось атаковать инфраструктуру AirDrop BTLE, чтобы включить интерфейс AWDL. Это осуществлялось через брутфорс хеш-значения контакта (ведь обычно люди разрешают AirDrop только для своих контактов), а затем переполнение буфера AWDL. В итоге можно было получить доступ к устройству и запустить малварь с root-правами, что давало атакующему полный контроль над личными данными пользователя, включая электронную почту, фотографии, сообщения, данные iCloud, а также пароли и криптографические ключи из Keychain и многое другое.
Хуже того, такой эксплоит мог обладать потенциалом червя, то есть мог распространяться с одного устройства на другое «по воздуху», и снова без вмешательства пользователя.
Бир отмечает, что данная уязвимость не использовалась злоумышленниками, однако хакерское сообщество и «поставщики эксплоитов, похоже, заинтересовались выпущенными исправлениями».
Еще одну демонстрацию атаки можно увидеть ниже. В этом случае IPhone 11 Pro жертвы находится в комнате, отделенной от атакующего закрытой дверью.