Een team van beveiliger Kaspersky meldt een nieuwe exploit die gebruik maakt van een tot voor kort ongekende feature in iPhones. Het zou gaan om de meest geavanceerde hack ooit.
De kwetsbaarheid krijgt de naam CVE-2023-38606 en werd in juli van dit jaar door Apple gepatcht. Sindsdien werkt Kaspersky aan het verder uitpluizen van de hack, deels omdat enkele van zijn eigen onderzoekers hem zelf op hun telefoons aantroffen.
Triangulation, zoals Kaspersky de aanval in een rapport noemt, gebruikt een tot nu toe ongekende en alvast ongedocumenteerde functie in iPhones, die vermoedelijk voor testing of debugging bestaat. De aanval misbruikt de functie om beveiligingen in de hardware te omzeilen en zo in delen van het geheugen te komen die anders beschermd zijn. ‘Dit is geen gewone kwetsbaarheid’, schrijft Boris Larin, hoofdonderzoeker bij Kaspersky’s GReAT-team in het rapport. Hij meldt dat het onderzoek bijzonder moeilijk was, omdat het ontleden van de hack een lange zoektocht vereiste door de software en hardware van het erg gesloten iOS-ecosysteem. Het team spendeerde meerdere maanden met het reverse-engineeren van hun eigen geïnfecteerde toestellen.
Operatie Triangulation
De kwetsbaarheid werd een viertal jaar lang gebruikt in een bredere ‘Operatie Triangulation’ campagne, die duizenden telefoons zou hebben geïnfecteerd en met spyware besmet. Daaronder dus ook ingenieurs van Kaspersky en, volgens de Russische overheid, duizenden mensen die in ambassades in Rusland werken. De infecties werden volgens Kaspersky verstuurd via iMessage-berichten die malware installeerden zonder dat de geadresseerde daar zelf actie voor moest ondernemen.
Kaspersky vond de bug eerder dit jaar en meldde ze aan Apple. Ze is ondertussen gepatcht, maar, zo zegt Larin, het hielp niet in het onderzoek dat er geen enkele documentatie bestaat rond de functie die misbruikt werd. ‘Beveiliging door obfuscatie werkt niet’, aldus nog Larin.
Fout opgemerkt of meer nieuws? Meld het hier