Classen et al.
Bir iPhone’u kapattığınızda, tamamen kapanmaz. Cihazın içindeki çipler, düşük güç modunda çalışmaya devam ederek, kaybolan veya çalınan cihazları Bul özelliğini kullanarak veya kredi kartı ve araba anahtarlarını pil bittikten sonra bulmayı mümkün kılar. Şimdi araştırmacılar, bir iPhone’un gücü kapalı görünse bile etkin kalan kötü amaçlı yazılımları çalıştırmak için bu her zaman açık mekanizmayı kötüye kullanmanın bir yolunu buldular.
iPhone’un Bluetooth çipinin (ki bu, Find My work gibi özellikler yaratmanın anahtarıdır), çalıştırdığı bellenimi dijital olarak imzalamak ve hatta şifrelemek için hiçbir mekanizmaya sahip olmadığı ortaya çıktı. Almanya’daki Darmstadt Teknik Üniversitesi’ndeki akademisyenler, saldırganın telefonun konumunu izlemesine veya cihaz kapatıldığında yeni özellikler çalıştırmasına olanak tanıyan kötü amaçlı bellenimi çalıştırmak için bu sertleştirme eksikliğinden nasıl yararlanılacağını buldu.
Bu video, bir saldırının çalışabileceği yollardan bazılarına ilişkin yüksek bir genel bakış sağlar.
[Paper Teaser] Evil Asla Uyumaz: Kablosuz Kötü Amaçlı Yazılım iPhone’ları Kapattıktan Sonra Açık Kaldığında
Araştırma, düşük güç modunda çalışan çiplerin oluşturduğu riski inceleyen ilk veya en azından ilkler arasında yer alıyor. Pil ömrünü korumak için iOS’un düşük güç modu ile karıştırılmaması için, bu araştırmadaki düşük güç modu (LPM), yakın alan iletişimi, ultra geniş bant ve Bluetooth’tan sorumlu çiplerin açık kalabilen özel bir modda çalışmasına izin verir. Bir cihaz kapatıldıktan sonra 24 saat boyunca.
Araştırmacılar, geçen hafta yayınlanan bir makalede, “Apple iPhone’lardaki mevcut LPM uygulaması opak ve yeni tehditler ekliyor” diye yazdı. “LPM desteği iPhone’un donanımına dayandığından sistem güncellemeleriyle kaldırılamaz. Bu nedenle, genel iOS güvenlik modeli üzerinde uzun süreli bir etkiye sahiptir. Bildiğimiz kadarıyla, iOS 15’te sunulan belgelenmemiş LPM özelliklerini ilk araştıran ve çeşitli sorunları ortaya çıkaran ilk biziz.”
Şunları eklediler: “LPM özelliklerinin tasarımı, amaçlanan uygulamaların dışındaki tehditleri dikkate almadan, çoğunlukla işlevsellik tarafından yönlendiriliyor gibi görünüyor. Kapattıktan sonra Find My, tasarım gereği kapanan iPhone’ları izleme cihazlarına dönüştürüyor ve Bluetooth üretici yazılımı içindeki uygulama, manipülasyona karşı güvenli değil.”
Enfeksiyonlar jailbreak yapılmış bir iPhone gerektirdiğinden, bulguların gerçek dünya değeri sınırlı. Yine de, iOS’ta her zaman açık özelliği hedeflemek, dünya çapındaki hükümetlerin düşmanları gözetlemek için rutin olarak kullandığı İsrail merkezli NSO Group’un gelişmiş akıllı telefon istismar aracı Pegasus gibi kötü amaçlı yazılımların kullanım sonrası senaryolarında kullanışlı olabilir. Bilgisayar korsanlarının Android cihazlarda çalışan buna benzer kablosuz açıklardan yararlanmaya açık güvenlik açıklarını keşfetmesi durumunda çiplere bulaşmak da mümkün olabilir.
Kötü amaçlı yazılımın iPhone kapalıyken çalışmasına izin vermenin yanı sıra, LPM’yi hedefleyen istismarlar, kötü amaçlı yazılımın çok daha gizli çalışmasına da izin verebilir, çünkü LPM, bellenimin pil gücünden tasarruf etmesine izin verir. Ve elbette, önemli uzmanlık ve pahalı ekipman gerektirdiğinden, üretici yazılımı enfeksiyonlarının tespit edilmesi zaten son derece zordur.
Araştırmacılar, Apple mühendislerinin makalelerini yayınlanmadan önce incelediğini, ancak şirket temsilcilerinin içeriği hakkında hiçbir geri bildirim sağlamadığını söyledi. Apple temsilcileri, bu hikaye için yorum isteyen bir e-postaya yanıt vermedi.
Sonuç olarak, Find My ve LPM tarafından etkinleştirilen diğer özellikler, kullanıcıların kaybolan veya çalınan cihazları bulmasına ve piller bittiğinde bile araba kapılarını kilitlemesine veya kilidini açmasına izin verdiği için ek güvenlik sağlamaya yardımcı olur. Ancak araştırma, şimdiye kadar büyük ölçüde fark edilmeyen iki ucu keskin bir kılıcı ortaya koyuyor.
Bellenim güvenlik firması Eclypsium’da stratejiden sorumlu kıdemli başkan yardımcısı John Loucaides, “Açıklananlara benzer donanım ve yazılım saldırılarının gerçek dünya ortamında pratik olduğu kanıtlanmıştır, bu nedenle bu makalede ele alınan konular zamanında ve pratiktir.” “Bu, her cihaz için tipiktir. Üreticiler her zaman yeni özellikler ekliyor ve her yeni özellikle yeni bir saldırı yüzeyi geliyor.”
