Descoberto ataque que infectou iPhones da Kaspersky durante anos

A Kaspersky revelou ter detectado um ataque que diz ser o mais avançado que já encontrou, que infectou iPhones dos seus funcionários ao longo dos últimos quatro anos e que usa funções "secretas" que só deveriam ser do conhecimento da Apple ou da ARM.

O ataque usava quatro vulnerabilidades 0-day que possibilitavam a infecção com o envio de uma simples mensagem iMessage sem que a vítima necessitasse fazer qualquer interacção. No passado já assistimos a campanhas de espionagem que usavam mensagens, mas o que destaca este ataque designado por "Triangulation" é o facto de uma das falhas permitir ultrapassar sistemas de protecção de memória que existem precisamente para evitar que um processo malicioso possa interferir com o funcionamento de outros processos. Isso é um maiores entraves para quem se dedica a estas actividades. A forma de ultrapassar essa protecção consistia em aceder a endereços específicos de memória que não são referenciados em nenhuma parte da documentação técnica conhecida - levando à suspeita de que poderá ter tido origem em alguém no interior da Apple, ou da ARM, ou de se tratar de um atacante com consideráveis recursos para fazer o reverse engineering dos chips da Apple para descobrir esta funcionalidade secreta.

A Apple já corrigiu as quatro falhas 0-day que eram exploradas por este ataque (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990), e que afectavam não só iPhones como também Macs, iPods, iPads, Apple TVs, e Apple Watches.

Uma vez que a dita capacidade nem sequer é usada pelo firmware dos dispositivos, pensa-se que poderá ter sido uma capacidade usada para debug durante o desenvolvimento dos chips e que, por descuido ou esquecimento, se manteve nos chips finais produzidos para o público.

De qualquer forma, demonstra uma vez mais que funções "secretas" de nada servem para proteger os utilizadores - muito pelo contrário, podem expô-los a riscos de segurança durante anos, sem que tenham forma de o detectar.