miércoles, mayo 18, 2022

"Evil never Sleeps" o cómo un malware tipo PEGASUS en tu iPhone podría funcionar incluso después de apagar el terminal

Este mes de Mayo se ha publicado un paper más que interesante, y que recomiendo que lo leáis con calma, que se ha titulado "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" donde un equipo de Security Researchers se ha dedicado a estudiar la taxonomía de posibles ataques que se pueden realizar cuando un terminal iPhone esta apagado por su dueño, y piensa que está seguro contra cualquier malware o proceso de spyware en él. Error.

Figura 1: "Evil never Sleeps" o cómo un malware tipo PEGASUS
en tu iPhone podría funcionar incluso después de apagar el terminal

Es decir, el artículo explica en detalle todas las posibilidades por las que un malware, utilizando los servicios de iPhone & iPad con el sistema operativo iOS en modo desconectado - que siguen funcionando incluso cuando apagas el terminal - podrían seguir trabajando en pro del malware persistente en tu terminal que te estuviera espiando todo el rato y conectándose con su C&C.
Este artículo recoge un estudio completo de cómo un malware instalado en un terminal iPhone usando algunas vulnerabilidades que pudieran existir, tanto en iOS como en el firmare, podrían ser utilizadas para que un malware controlara tu terminal incluso cuando lo tienes apagado. 

Figura 3: Diseño de cómo sería el funcionamiento de Introspection en SmartPhone


Figura 4: Recomendaciones de protección física de comunicaciones en iPhone

En el artículo, explica cómo se debe utilizar una solución como Introspection que evite la comunicación de un malware latente que utilice las funciones LPM (Low Power Mode) de un terminal iPhone que se activan con el terminal OFF, como son las comunicaciones del servicio Find My Digital Card Key (DCK) 3.0, basadas en los nuevos chip BlueTooth que soportan comandos BlueTooth Low Energy (BLE) y Ultra WideBand (UWB), como evolución de las comunicaciones Near Filed Communications (NFC)

Figura 5: Protocolos que quedan activos en modo LPM cuando iPhone está OFF

Este artículo analiza las posibilidades por las que, si un malware consiguiera un control total de uno de los tres elementos principales de la cadena en un terminal iPhone que mantienen la seguridad completa del sistema, como son:
  • Apps privilegiadas con acceso a funciones LPM en modo OFF
  • Firmware del terminal iPhone
  • Hardware del terminal iPhone
Entonces, ese malware, podría seguir comunicándose incluso con el terminal apagado. Para ello, como podéis imaginar, no es nada sencillo, pero ya hemos visto ataques en el pasado que han tomado ventajas de vulnerabilidades en todos los niveles para hackear el terminal iPhone o iPad, como hemos visto muchas veces.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Desde los primeros Jailbreak de los primeros iPhone, como fue el que uso el exploit limera1n que explotaba vulnerabilidades en el firmware y que no podía ser parcheado vía OTA, lo que lo hacía más que persistente, hasta los ataques de NAND Mirroring clonando el hardware y atacando el passcode para evitar el borrado de los datos, pasando por la infinidad de bugs en el sistema operativo iOS y sus apps que han permitido accesos privilegiados y Jailbreak

Figura 7: Modelo de Adversario que modifica el firmware del iPhone

Esto, que parece harto complicado, se puede realizar sin embargo mediante un proceso por el cual se aprovechan de una debilidad que ha incluido Apple en sus terminales, al permitir el patch de los nuevos chips de Bluetooth que se metan patches sin firmar, lo permite a los autores del artículo hacer una actualización del firmware de manera maliciosa, al estilo de los antiguos ataques de EvilGrade de Francisco Amato.

Figura 8: Modificación del firmware de Bluetooth con patches "unsigned"

Además, auditando en profundidad apps privilegiadas para el uso de funciones LPM en modo OFF, como es el caso de Find My, parece que no cumple promesa de seguridad que ofrece, dejando de funcionar el envío de paquetes de advertisement, y haciendo que el terminal se "pierda", lo que sería otra debilidad del sistema.

Figura 9: Malfuncionamiento de Find My

Todo este largo análisis que hace este artículo, al final abre un poco la paranoia del espionaje que abrió Edward Snowden en su momento. Si existen estas capacidades, y no hay forma de garantizar que alguien ha manipulado el hardware o que ha manipulado el software, o que hay un bug en una app con acceso privilegiado a las funciones LPM en modo OFF, entonces no hay forma de garantizar que no te hayan metido, por ejemplo, un PEGASUS. Y la siguiente derivada, ... ¿y si alguien ha dejado un bug a propósito en esas puertas para siempre tener acceso a todos los datos de todos los usuarios que tengan un terminal iPhone o iPad

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


No hay comentarios:

Publicar un comentario