Otkriće, koje je napravila firma za sajber sigurnost iVerify, otkriva kako napadači mogu kompromitovati iPhone uređaje bez ikakve interakcije s korisnikom iskorištavajući grešku u funkciji ažuriranja profila kontakata u iMessageu.
Ranjivost je posebno zabrinjavajuća jer je za izvršenje napada potreban samo broj telefona ili Apple ID mete.
Sofisticirani iMessage 0-Click Exploit
Ranjivost NICKNAME iskorištava stanje trke u procesu “imagent”, koji obrađuje sav iMessage promet na iOS uređajima. Kada korisnici ažuriraju svoje profile kontakata, uključujući nadimak, fotografiju ili pozadinu, sistem generiše “Ažuriranja nadimaka” koja obrađuju uređaji primalaca.
Tehnička greška se odnosi na način na koji obrada slika obrađuje podatke povezane s ovim ažuriranjima. Prije Apple-ovog rješenja, sistem je koristio promjenjive kontejnere podataka (NSMutableDictionary objekte) koji su se mogli mijenjati dok im istovremeno pristupaju drugi procesi.
Ovo je stvorilo klasičan uslov utrke gdje jedna nit može čitati detalje ažuriranja nadimka dok druga nit istovremeno mijenja isti kontejner podataka.
Ovo oštećenje memorije može izazvati ranjivost Use-After-Free (UAF) , što uzrokuje pad procesa imagent. Međutim, sofisticirani napadači bi potencijalno mogli iskoristiti ovo oštećenje kao primitiv za postizanje izvršavanja koda na ciljanim uređajima.
Između aprila 2024. i januara 2025. godine, iVerify je analizirao podatke o rušenju sistema sa skoro 50.000 uređaja i otkrio da su rušenja sistema povezana sa ažuriranjima nadimaka izuzetno rijetka, čineći manje od 0,001% svih prikupljenih zapisa o rušenju sistema.
Ono što je ove padove učinilo posebno sumnjivim jeste njihovo isključivo pojavljivanje na uređajima koji pripadaju pojedincima koji bi vjerovatno mogli biti meta naprednih upornih prijetnji.
Zahvaćeni uređaji pripadali su radnicima političkih kampanja, novinarima, rukovodiocima u tehnološkim kompanijama i vladinim službenicima u EU i SAD-u.
Najznačajnije je to što su istraživači primijetili ove padove na najmanje jednom uređaju koji pripada visokom zvaničniku vlade Evropske unije otprilike trideset dana prije nego što su primili obavještenje o prijetnji od strane Apple-a.
Forenzički pregled pogođenih uređaja otkrio je sumnjivu aktivnost u skladu s poznatim procedurama čišćenja špijunskog softvera. Na najmanje jednom uređaju, direktoriji povezani s SMS prilozima i metapodacima poruka su modifikovani i ispražnjeni samo 20 sekundi nakon što je došlo do pada imagent-a – ponašanje koje odražava tehnike uočene u potvrđenim komercijalnim napadima špijunskog softvera.
Apple je riješio ranjivost u iOS-u 18.3 implementacijom sigurnijeg pristupa rukovanju ažuriranjima nadimaka. Rješenje uključuje korištenje nepromjenjivih kopija rječnika prilikom emitovanja ažuriranja nadimaka, čime se efikasno sprječava stanje utrke koje je omogućilo iskorištavanje.
Proces obrade slika je česta meta sofisticiranih napadača, a iskorištavan je u prethodnim visokoprofilnim kampanjama, uključujući operacije FORCEDENTRY i BLASTPASS.
Uprkos Apple-ovoj implementaciji BlastDoor sandboxinga u iOS 14 radi zaštite od takvih napada, odlučni hakeri nastavljaju pronalaziti uske vektore napada kroz Apple-ovu odbranu.
Stručnjaci za sigurnost preporučuju svim korisnicima iPhone-a da odmah ažuriraju iOS na najnoviju verziju, a osobama s visokim rizikom posebno se savjetuje da omoguće Apple-ov Lockdown Mode za dodatnu zaštitu od sofisticiranih napada bez klika.
Izvor: CyberSecurityNews
