Un cercetător amator descoperă un potențial vector de atac ransomware pentru iPhone

Un cercetător amator din domeniul securității susține că a descoperit un potențial vector de atac ransomware pentru dispozitivele iPhone și iPad, care exploatează o vulnerabilitate a cadrului HomeKit de la Apple.

El numește exploit-ul „doorLock” și spune că orice dispozitiv iPhone sau iPad cu sistem de operare iOS 14.7 până la iOS 15.2 este vulnerabil și că, cel mai probabil, versiunile mai vechi de iOS 14 sunt și ele afectate.

Trevor Spiniolas și-a dezvăluit descoperirea pe 1 ianuarie, la patru luni după ce a informat Apple cu privire la vulnerabilitate. El spune că a publicat informația despre vulnerabilitate din cauza răspunsului lent al companiei, cu toate că a avertizat firma în urmă cu câteva săptămâni că va publica informația.

Un exploit în toată firea

Auto-proclamatul „cercetător amator din domeniul securității” a publicat o demonstrație de concept (PoC) pentru un atac de tip „denial of service” care blochează dispozitivul vizat și inițiază un ciclu de reporniri, ceea ce împiedică victimele să-și acceseze datele. Chiar dacă dispozitivul este repornit, eroarea este declanșată automat atunci când se încearcă re-autentificarea în contul Apple.

„Atunci când numele unui dispozitiv HomeKit se schimbă într-un string lung (se testează o variantă cu 500.000 de caractere), orice dispozitiv care are instalată o versiune iOS afectată și care încarcă string-ul va fi blocat, chiar și după repornire”, a scris Spiniolas pe blogul său.

„Restabilirea dispozitivului și re-autentificarea în contul iCloud asociat dispozitivului HomeKit va declanșa din nou eroarea”, explică el.

Cadrul HomeKit de la Apple permite utilizatorilor să configureze și să controleze dispozitivele casnice inteligente folosind iGizmos. Fiind probabil cheia erorii descoperite de Spiniolas, HomeKit este conceput pentru a descoperi automat astfel de dispozitive și a le configura.

Există două modalități prin care vulnerabilitatea poate fi exploatată, iar cea mai simplă dintre ele afectează majoritatea configurațiilor existente. Atacatorii nu trebuie decât să determine victima să accepte o invitație periculoasă cu un string cu nume lung, ceea ce duce la blocarea dispozitivului și inițierea unui ciclu de reporniri care nu trece dincolo de ecranul blocat. Spiniolas demonstrează acest scenariu de atac în mediul real într-un videoclip PoC postat pe blogul său (disponibil mai jos).

„Acest ciclu va continua pe o perioadă nedeterminată, cu reporniri ocazionale”, explică programatorul. „Cu toate acestea, nici repornirea și nici actualizarea dispozitivului nu remediază problema. De vreme ce comunicația prin USB nu va mai funcționa, cu excepția modurilor Recuperare sau DFU, în acest punct utilizatorul a pierdut complet toate datele locale, deoarece dispozitivul nu mai poate fi folosit și nu se mai pot face backup-uri. Un aspect critic este faptul că, dacă utilizatorul restabilește dispozitivul și se autentifică din nou în contul iCloud utilizat anterior, asociat cu datele, eroarea se va declanșa din nou și va avea exact aceleași efecte ca înainte.”

Un potențial vector de atac ramsomware pentru iOS

Spiniolas consideră că descoperirea lui constituie baza unui vector viabil de atac ransomware – o noțiune rar întâlnită în contextul hardware-ului iOS.

„Din cauza acestor efecte, consider că eroarea face ca atacurile ransomware să fie viabile pentru iOS, ceea ce e extrem de important”, afirmă Spiniolas.

Cercetătorul speculează că atacatorii ar putea chiar să cloneze serviciile Apple sau produsele HomeKit pentru a păcăli utilizatorii care nu sunt familiarizați cu tehnologia și a solicita sume de bani pentru remedierea problemei.

Remedieri (Atenție!)

Acum că informația a fost publicată, există posibilitatea ca cineva să încerce să exploateze vulnerabilitatea pentru a obține profituri, sau pur și simplu pentru propriul amuzament.

În prezent, nu există nicio metodă fiabilă pentru redobândirea accesului la datele locale în cazul în care atacul a fost deja inițiat, ceea ce înseamnă că, cel mai probabil, e cel mai bine să nu încercați singuri să faceți acest experiment. În orice caz, Spiniolas spune că utilizatorii pot obține măcar acces la contul iCloud asociat cu datele lor urmând acești pași:

Restabilește dispozitivul afectat din modurile Recuperare sau DFU

· Configurează dispozitivul în mod normal

· NU te autentifica din nou în contul iCloud

· După finalizarea configurării, accesează Setări și autentifică-te în Apple ID

· Apasă imediat pe iCloud și dezactivează opțiunea „Home” pentru a preveni sincronizarea cu datele Home asociate contului iCloud

Conform cercetătorului, cel mai simplu mod de a te proteja împotriva celor mai rele efecte ale doorLock este să dezactivezi dispozitivele Home din Control Center.

Ca de obicei, se recomandă ca utilizatorii să creeze în mod regulat backup-uri pentru datele lor (preferabil și versiuni offline) pentru a rămâne în siguranță indiferent de amenințările de securitate prezente în peisaj.