Исследователи из Дармштадтского технического университета разработали вредоносное ПО для iPhone, которое может работать даже на выключенном устройстве.
Все началось с того, что ученые исследовали реализацию режима низкого энергопотребления (low-power mode, LPM) на iPhone и обнаружили, что тот несет в себе серьезные риски для безопасности и даже позволяет злоумышленникам запускать вредоносное ПО на выключенных устройствах. По мнению экспертов, эти риски нельзя игнорировать, особенно если речь идет о журналистах, активистах и других лицах, которые могут стать мишенью для хорошо финансируемых злоумышленников.
Анализ экспертов выявил, что на iPhone, который работает под управлением iOS 15, системы беспроводной связи Bluetooth, NFC и Ultra-wideband (UWB) связи остаются активными даже после выключения устройства.
«Чипы Bluetooth и UWB жестко подключены к Secure Element (SE) в чипе NFC и хранят секреты, которые должны быть доступны в LPM. Поскольку поддержка LPM реализована аппаратно, ее нельзя отключить путем изменения программных компонентов. В результате на современных iPhone более нельзя доверять отключению беспроводных чипов после выключения», — гласит доклад исследовательской группы.
Придя к этому выводу, исследователи проверили работу приложений, использующих LPM (например, Find My), а также оценили их влияние на безопасность железа и прошивки.
Так как описанная в докладе атака все же является концептом, в рамках своего анализа эксперты предположили, что злоумышленник уже имеет привилегированный доступ к прошивке, может отправлять специальные команды, изменять образ прошивки или выполнять код «по воздуху». Выяснилось, что если прошивка была скомпрометирована, злоумышленник может сохранить определенный контроль над устройством жертвы даже после его отключения, а это может быть весьма полезно для устойчивых эксплоитов.
В случае с аппаратной составляющей исследователи предположили, что злоумышленник не может скомпрометировать железо напрямую. Тогда они сосредоточились на определении того, какие компоненты могут быть включены без ведома пользователя, и какие приложения могут быть использованы.
В отчете подробно рассказывается, как можно изменить прошивку Bluetooth LPM для запуска вредоносных программ на iPhone 13, даже в том случае, если устройство выключено. Ученые объясняют, что подобная атака возможна в силу того, что прошивка не подписана и не зашифрована, а для чипа Bluetooth даже не включена безопасная загрузка.
«Дизайн функций LPM, очевидно, определяется функциональностью, без учета рисков, выходящих за рамки предполагаемых приложений. Find My после отключения питания превращает выключенные iPhone в устройства слежения, а имплементация прошивки Bluetooth не защищена от манипуляций.
Кроме того, для поддержки современных автомобильных ключей требуется UWB в LPM. Bluetooth и UWB теперь жестко подключены к SE и используются для хранения автоключей и других секретов. Учитывая, что прошивкой Bluetooth можно манипулировать, интерфейсы SE становятся доступны iOS. Впрочем, SE специально предназначен для защиты секретов при условии, что iOS и работающие на ней приложения могут быть скомпрометированы», — пишут исследователи.
Эксперты полагают, что Apple следует добавить в свои устройства некий аппаратный переключатель для отключения батареи, что должно улучшить ситуацию. Также исследовательская группа опубликовала в открытом доступе опенсорсные инструменты InternalBlue и Frankenstein, которые можно использовать для анализа и модификации прошивки.
Исследователи заявили, что сообщили о своих выводах инженерам Apple, однако пока не получили о компании никаких комментариев.