Изследователите създават злонамерен софтуер за iPhone, който работи дори когато устройството е изключено


Изследователите създават злонамерен софтуер за iPhone, който работи дори когато устройството е изключено

Classen et al.

Когато изключите iPhone, той не се изключва напълно. Чиповете в устройството продължават да работят в режим на ниска мощност, което прави възможно намирането на изгубени или откраднати устройства с помощта на функцията Find My или използване на кредитни карти и ключове за кола, след като батерията се изтощи. Сега изследователите са измислили начин да злоупотребят с този винаги включен механизъм за стартиране на зловреден софтуер, който остава активен дори когато изглежда, че iPhone е изключен.

Оказва се, че Bluetooth чипът на iPhone – който е ключов за създаване на функции като Find My работа – няма механизъм за цифрово подписване или дори криптиране на фърмуера, който работи. Учените от Техническия университет в Дармщат на Германия разбраха как да използват тази липса на втвърдяване, за да стартират злонамерен фърмуер, който позволява на нападателя да проследява местоположението на телефона или да стартира нови функции, когато устройството е изключено.

Това видео предоставя общ преглед на някои от начините, по които една атака може да работи.

[Paper Teaser] Злото никога не спи: Когато безжичният злонамерен софтуер остава включен след изключване на iPhone.

Изследването е първото – или поне сред първите – за изследване на риска, породен от чиповете, работещи в режим на ниска мощност. Да не се бърка с режима на ниска мощност на iOS за запазване на живота на батерията, режимът на ниска мощност (LPM) в това изследване позволява на чиповете, отговорни за комуникацията в близко поле, ултра широколентовия и Bluetooth, да работят в специален режим, който може да остане включен за 24 часа след изключване на устройството.

„Текущата реализация на LPM на Apple iPhone е непрозрачна и добавя нови заплахи“, пишат изследователите в хартия публикуван миналата седмица. „Тъй като поддръжката на LPM се основава на хардуера на iPhone, тя не може да бъде премахната със системни актуализации. По този начин той има дълготраен ефект върху цялостния модел за сигурност на iOS. Доколкото ни е известно, ние сме първите, които разгледаха недокументираните LPM функции, въведени в iOS 15, и разкрихме различни проблеми.

Те добавиха: „Дизайнът на LPM функции изглежда се ръководи най-вече от функционалност, без да се вземат предвид заплахите извън предвидените приложения. Find My след изключване на захранването превръща изключените iPhone в устройства за проследяване по дизайн, а внедряването във фърмуера на Bluetooth не е защитено срещу манипулация.

Констатациите имат ограничена реална стойност, тъй като инфекциите изискват джейлбрейкнат iPhone, което само по себе си е трудна задача, особено в съревнователна среда. И все пак, насочването към винаги включената функция в iOS може да се окаже полезно в сценарии след експлоатиране от злонамерен софтуер като Пегас, усъвършенстваният инструмент за използване на смартфони от базираната в Израел NSO Group, който правителствата по света рутинно използват, за да шпионират противници. Възможно е също така да се заразят чиповете в случай, че хакерите открият пропуски в сигурността, които са податливи на експлоати по ефир, подобни на този който работи срещу устройства с Android.

Освен че позволява на зловреден софтуер да работи, докато iPhone е изключен, експлойтите, насочени към LPM, могат също да позволят на злонамерения софтуер да работи с много по-невидимост, тъй като LPM позволява на фърмуера да пести енергията на батерията. И разбира се, инфекциите на фърмуера вече са изключително трудни за откриване поради значителния опит и скъпото оборудване, необходими за това.

Изследователите казаха, че инженерите на Apple са прегледали своя документ, преди да бъде публикуван, но представители на компанията никога не са предоставили обратна връзка за съдържанието му. Представителите на Apple не отговориха на имейл с търсене на коментар за тази история.

В крайна сметка Find My и други функции, активирани от LPM, помагат за допълнителна сигурност, тъй като позволяват на потребителите да намират изгубени или откраднати устройства и да заключват или отключват вратите на автомобила, дори когато батериите са изтощени. Но изследването разкрива нож с две остриета, който досега оставаше до голяма степен незабелязан.

„Хардуерните и софтуерните атаки, подобни на описаните, се оказаха практични в реална среда, така че темите, обхванати в този документ, са навременни и практични“, Джон Лукейдс, старши вицепрезидент по стратегия във фирмата за сигурност на фърмуера Eclypsium. „Това е типично за всяко устройство. Производителите добавят функции през цялото време и с всяка нова функция идва нова повърхност за атака.”