Apesar dos melhores esforços da Apple, Google, Microsoft e outros, os dispositivos que usamos todos os dias apresentam graves falhas de segurança. Passamos a vida esperando que os mocinhos percebam essas vulnerabilidades antes que os criminosos online o façam. Isso não aconteceu no caso de um alvo malware campanha na Rússia. A empresa de segurança Kaspersky afirma que vários iPhones pertencentes a seus funcionários foram hackeados em pedaços por pessoas desconhecidas usando um ataque que chamou de “Triangulação”. Curiosamente, esta campanha de hackers só foi possível graças a recursos misteriosos e não documentados dos processadores baseados em ARM da Apple.
A Kaspersky só tomou conhecimento da triangulação há vários meses, mas suspeita que os ataques já duram cerca de quatro anos. Durante esse período, os invasores comprometeram pelo menos várias dezenas de telefones, mas poderiam ter sido muitos mais. Com este método, os invasores têm acesso total ao sistema. Roubar dados, executar código remoto – está tudo em jogo. A empresa forneceu detalhes sobre processos, arquivos e comportamentos do sistema que podem confirmar uma infecção por Triangulação, mas mesmo pesquisadores de segurança experientes têm lutado para detectar os sinais desse malware avançado.
A triangulação depende de uma cadeia de infecção complexa com quatro explorações de dia zero. A infecção começa com um PDF malicioso que usa um exploit (CVE-2023-41990) na fonte TrueType para executar código limitado. Ele também usa uma falha de corrupção de memória (CVE-2023-32434) e uma vulnerabilidade do Safari que permite que o malware execute código shell (CVE-2023-32435). Mas nada disso teria sido capaz de afetar a segurança da Apple se não fosse pelo CVE-2023-38606.
A cadeia de infecção da triangulação. Crédito: Kaspersky
Essa última vulnerabilidade aproveita o molho secreto da Apple. A Kaspersky levou meses de engenharia reversa para entender o que estava acontecendo com a triangulação porque o malware apareceu apesar das proteções de memória baseadas em hardware da Apple. Esse recurso supostamente bloqueia o acesso do malware à memória ativa e ao código do kernel, o que pode interromper uma infecção. No entanto, a triangulação pode contornar isso e obter controle total do telefone acessando entradas/saídas mapeadas em memória (MMIO) não documentadas. Kaspersky especula que a Apple pode ter usado esse sistema para depuração durante a engenharia ou na fábrica, mas também deu à Triangulação uma maneira de derrotar a segurança da Apple. Os pesquisadores não podem descartar que esse recurso tenha sido ativado por engano.
Como a Apple não sabia dessas falhas, os invasores conseguiram aproveitá-las para obter acesso de baixo nível aos dispositivos. E não é apenas o iPhone; A Kaspersky diz ter encontrado versões do Triangulation projetadas para iPad, Apple TV, Apple Watch e Macs. Um ataque desta sofisticação sugere atores estatais, que teriam os recursos para identificar e controlar vulnerabilidades valiosas do sistema, como a triangulação.
Os invasores foram contidos o suficiente para usar a triangulação durante anos antes que o Kaspersky se popularizasse. Após a revelação da Kaspersky, o Centro Nacional de Coordenação de Incidentes Informáticos da Rússia apontou o dedo à Agência de Segurança Nacional dos EUA, mas não forneceu provas para a alegação. Mas isso não seria muito sem precedentes. A agência disse que a triangulação foi encontrada em milhares de iPhones pertencentes a funcionários diplomáticos e de embaixadas.
Quem quer que esteja por trás da Triangulação, agora terá que encontrar um novo brinquedo. A Apple corrigiu as vulnerabilidades em atualizações de software recentes. No entanto, outros podem tentar usar as explorações agora que são públicas. Mantenha seus dispositivos atualizados e a triangulação não deverá ser uma preocupação.