Σύμφωνα με το ArsTechnica, ερευνητές παρουσίασαν σήμερα στοιχεία που δείχνουν ότι σε διάστημα τεσσάρων ετών χιλιάδες συσκευές iPhone δέχθηκαν επίθεση από spyware. Τα iPhone αυτά ανήκαν σε υπαλλήλους της εταιρείας ασφαλείας Kaspersky στη Μόσχα. Οι επιτιθέμενοι κατάφεραν να αποκτήσουν ένα επίπεδο πρόσβασης που δεν είχε παρατηρηθεί ποτέ πριν και όλα έγιναν με την εκμετάλλευση μιας ευπάθειας στο hardware το οποίο δεν γνώριζαν πολλοί εκτός της Apple και της εταιρείας σχεδιασμού ημιαγωγών Arm Holdings.
Δεν είναι γνωστό πώς οι επιτιθέμενοι έμαθαν για αυτή την αδυναμία στο υλικό ενώ ακόμη και οι ερευνητές δεν έχουν ιδέα ποιος ήταν ο σκοπός της. Επίσης, είναι άγνωστο αν το υλικό ήταν εγγενές τμήμα του iPhone ή αν ενεργοποιήθηκε από κάτι άλλο όπως το CoreSight της Arm. Εκτός από τη μόλυνση των iPhone που ανήκαν σε υπαλλήλους της Kaspersky, το spyware επηρέασε επίσης τα κινητά που χρησιμοποιούσαν χιλιάδες άτομα που εργάζονταν σε πρεσβείες και διπλωματικές αποστολές στη Ρωσία.
Πώς διαδόθηκε το spyware για να στοχεύσει iPhones; Προφανώς στάλθηκε μέσω μηνυμάτων iMessage χρησιμοποιώντας μια διαδικασία που δεν απαιτούσε από το θύμα να προβεί σε καμία ενέργεια. Μόλις μολύνθηκαν, τα iPhones μετέδιδαν καταγραφές μικροφώνου, φωτογραφίες, δεδομένα γεωγραφικού εντοπισμού και άλλες ευαίσθητες πληροφορίες σε διακομιστές που ελέγχονταν από τους επιτιθέμενους. Ενώ η επανεκκίνηση ενός iPhone θα απάλλασσε τη συσκευή από τη μόλυνση, οι επιτιθέμενοι θα έστελναν ένα νέο κείμενο φορτωμένο με spyware στην ίδια συσκευή και θα την μόλυναν εκ νέου κάθε φορά που θα επανεκκινούνταν.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ο ερευνητής της Kaspersky Boris Larin έγραψε: “Η πολυπλοκότητα του exploit και η αφάνεια της λειτουργίας υποδηλώνουν ότι οι επιτιθέμενοι είχαν προηγμένες τεχνικές δυνατότητες. Η ανάλυσή μας δεν αποκάλυψε πώς έλαβαν γνώση αυτού του χαρακτηριστικού, αλλά διερευνούμε όλες τις πιθανότητες, συμπεριλαμβανομένης της τυχαίας αποκάλυψης σε προηγούμενες εκδόσεις firmware ή πηγαίου κώδικα. Μπορεί επίσης να το ανακάλυψαν μέσω reverse engineering”.
Το κακόβουλο λογισμικό και η καμπάνια που οδήγησε στην εγκατάστασή του ονομάστηκαν και τα δύο “Triangulation” και περιείχαν τέσσερις zero-day vulnerabilities, πράγμα που σημαίνει ότι οι επιτιθέμενοι γνώριζαν για αυτές τις ευπάθειες πριν από την Apple. Η Apple έχει έκτοτε επιδιορθώσει τα προβλήματα αυτά τα οποία έχουν καταγραφεί ως:
CVE-2023-32434
CVE-2023-32435
CVE-2023-38606
CVE-2023-41990
Το προβλήματα αυτά δεν επηρέασαν μόνο τα μοντέλα iPhone, επηρέασαν επίσης iPads, iPods, Mac, τηλεοράσεις Apple και ρολόγια αλλά η Apple υποστηρίζει ότι διόρθωσε τις ευπάθειες σε όλες τις προαναφερθείσες συσκευές.
Σε ένα δελτίο τύπου, ο Larin της Kaspersky πρόσθεσε: “Αυτή δεν είναι μια συνηθισμένη ευπάθεια. Λόγω της κλειστής φύσης του οικοσυστήματος του iOS, η διαδικασία ανακάλυψης ήταν τόσο δύσκολη όσο και χρονοβόρα, απαιτώντας μια ολοκληρωμένη κατανόηση των αρχιτεκτονικών τόσο του υλικού όσο και του λογισμικού. Αυτό που μας διδάσκει για άλλη μια φορά αυτή η ανακάλυψη είναι ότι ακόμη και οι προηγμένες προστασίες που βασίζονται στο υλικό μπορούν να καταστούν αναποτελεσματικές απέναντι σε έναν εξελιγμένο επιτιθέμενο, ιδιαίτερα όταν υπάρχουν χαρακτηριστικά υλικού που επιτρέπουν την παράκαμψη αυτών των προστασιών”.
Όσον αφορά το ποιος βρίσκεται πίσω από την επίθεση, ορισμένοι κατηγορούν την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA). Η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας λέει ότι η επίθεση προήλθε από την NSA που συνεργαζόταν με την Apple, αν και η Kaspersky δήλωσε ότι δεν έχει αποδείξεις ότι εμπλέκονται και οι δύο.
