Le cheval de Troie Triangulation a exploité une vulnérabilité non documentée dans les puces des appareils iOS

MADRID, 28 déc. (Portail/EP) –

Les attaques dérivées de ce qu’on appelle Opération Triangulationdestiné aux mobiles iPhone depuis 2019, Ils ont exploité des vulnérabilités non documentées dans les processeurs (SoC) de ces appareils pour contourner les protections de sécurité matérielles.

Cette campagne de distribution de logiciels malveillants, qualifiée d’« extrêmement sophistiquée », a été détectée par la plateforme unifiée de surveillance et d’analyse de Kaspersky (KUMA). Ces chercheurs ont découvert au début de l’année dernière plusieurs dizaines d’iPhone et d’iPad de cadres supérieurs infectés par ce cheval de Troie.

Apple a publié en juin une série de mises à jour pour iOS et iPadOS pour éliminer ce cheval de Troie, distribué via iMessage et capable de transmettre silencieusement des informations privées à des serveurs distants, comme des photographies ou des données de géolocalisation.

Cette société de cybersécurité a en revanche annoncé fin octobre que l’opération Triangulation avait exploité cinq vulnérabilités Apple, quatre d’entre eux ont été identifiés comme « jour zéro », pour infecter les ordinateurs et voler les données des utilisateurs.

Or, les analystes de Kaspersky ont indiqué que les attaques de l’Opération Triangulation ont également profité de failles non documentées dans les puces de la marque pour contourner les protections de sécurité matérielles.

Pour arriver à cette conclusion, la société de cybersécurité a procédé à une ingénierie inverse de la chaîne d’attaques qui ont eu lieu l’année dernière, afin de découvrir tous les détails de son « modus operandi ».

Plus précisément, les analystes ont étudié la brèche CVE-2003-38606, résolu en juillet de cette année avec le lancement d’iOS/iPadOS 16.6 pour déterminer son exploitabilité, comme expliqué dans son blog SecureList.

Tout d’abord, ils ont rappelé que les modèles d’iPhone récents disposent d’une protection de sécurité supplémentaire basée sur le « matériel ». pour les régions sensibles de la mémoire du noyau.

Pour le contourner, les attaquants ont utilisé une autre fonctionnalité des SoC conçus par Apple, grâce à laquelle ils ont pu “écrire des données à une certaine adresse physique, tout en contournant la protection matérielle de la mémoire en écrivant les données, l’adresse de destination et le hachage des données dans des registres matériels inconnus sur la puce qui ne sont pas utilisés par le micrologiciel.

Kaspersky a indiqué qu’il pensait que cette fonctionnalité était destinée à être utilisée à des fins de tests par les ingénieurs et développeurs Apple et qu’elle aurait été incluse. par erreur dans le SoC des appareils.

Cependant, ils ont reconnu ne pas savoir comment les attaquants ont réussi à exploiter cette vulnérabilité au niveau matériel et qu’ils ont publié les détails techniques de leurs recherches afin que d’autres analystes iOS peuvent confirmer leurs conclusions.