iPhone, iPad i Mac są celem ataków. Gdy tylko Twój sprzęt znajdzie aktualizację, jak najszybciej ją zainstaluj.
Poprawka została wydana w środę 21 czerwca 2023 roku. Jedna z luk, którą usuwa, jest obecna na iPhone'ach, iPadach, Apple Watchach i komputerach Mac. Druga jest związana ściśle z silnikiem WebKit, który odpowiada za pracę przeglądarki Safari. Jest jeszcze trzecia, pozwalająca na atak przez otwarcie szkodliwej strony internetowej.
Trzy luki zostały zaklasyfikowane jako zero-day, co oznacza, że prawdopodobnie są już wykorzystywane. Istnieje podejrzenie, że stały się częścią szeroko zakrojonej kampanii szpiegowskiej Operation Triangulation, aktywnej od 2019 roku. Do dziś nie wiadomo, kto za nią stoi. Operacja została wykryta i opisana publicznie przez analityków z Kaspersky Lab, co zbiegło się w czasie z raportem Kremla, jakoby amerykanie hakowali iPhone'y Rosjan. Odłóżmy politykę na bok i przyjrzyjmy się samym lukom.
Today Apple released updates for CVE-2023-32434 (Kernel) and CVE-2023-32435 (WebKit) in-the-wild zero-days which were discovered by us (@kucher1n, @bzvr_ and yours truly) in the #iOSTriangulation attacks. Update your iOS/iPadOS/macOS/watchOS now! pic.twitter.com/w1HxJwq4GO
— Boris Larin (@oct0xor) June 21, 2023
Oznaczona jako CVE-2023-32434 wykorzystuje przepełnienie zmiennej typu całkowitego podczas pracy jądra systemu. Odpowiednio wykorzystany błąd umożliwia szkodliwej aplikacji wykonanie kodu z uprawnieniami samego jądra. Błąd CVE-2023-32435 zaś to uszkodzenie zawartości pamięci używanej przez silnik WebKit, a więc podstawę przeglądarki Safari. Znając tę lukę, można przygotować stronę, która wykona na telefonie lub komputerze szkodliwy kod, jeśli tylko użytkownik tę stronę odwiedzi.
Te dwie luki zgłosili firmie Apple analitycy z firmy Kaspersky. Znaleźli je, analizując zaawansowany szkodliwy program TriangleDB. Jest on rozsyłany w wiadomościach iMessage z załącznikiem, a atak nie wymaga żadnego działania od użytkownika. Exploit ściąga kolejne komponenty, otwiera tylne wejście do systemu, a następnie kasuje wiadomość i wszelki ślad po sobie. Dalej wszystko dzieje się w RAM-ie i program szpiegujący znika po ponownym uruchomieniu smartfonu. Problem w tym, że smartfony mogą działać tygodniami bez restartu i bardzo dbamy o to, by nie zabrakło im energii ani na chwilę.
W czasie działania TriangleDB jest w stanie sporo nabroić. Po uzyskaniu wysokich uprawnień jest w stanie operować na plikach, wyłączać procesy innych aplikacji, monitorować lokalizację urządzenia i wykradać dane logowania z menedżera haseł Keychain.
Trzecia luka, czyli CVE-2023-32439, mogła być wykorzystana do uruchomienia szkodliwego kodu na urządzeniu po tym, jak użytkownik odwiedził szkodliwą stronę. Co ciekawe, ta luka została zgłoszona anonimowo.
Od początku roku Apple załatał już 9 poważnych dziur w swoich systemach. To pokazuje, że warto pilnować aktualizacji bez względu na markę sprzętu.
Źródło zdjęć: gg5795 / Shutterstock
Źródło tekstu: Apple, Boris Larin