Een eerste-van-zijn-soort beveiligingsanalyse van iOS Zoek mijn-functie heeft een nieuw aanvalsoppervlak aangetoond dat het mogelijk maakt om met de firmware te knoeien en malware op een Bluetooth-chip te laden die wordt uitgevoerd terwijl een iPhone “uit” is.
Het mechanisme maakt gebruik van het feit dat draadloze chips gerelateerd aan Bluetooth, Near-field communicatie (NFC) en ultrabreedband (UWB) blijven werken terwijl iOS is uitgeschakeld wanneer een “stroomreserve” Low Power Mode (LPM) wordt geactiveerd.
Hoewel dit wordt gedaan om functies zoals Zoek mijn in te schakelen en te vergemakkelijken Express Card-transactieshebben alle drie de draadloze chips directe toegang tot het beveiligde element, wetenschappers van het Secure Mobile Networking Lab (SEEMOO) aan de Technische Universiteit van Darmstadt zei in een papier.
“De Bluetooth- en UWB-chips zijn bedraad met het Secure Element (SE) in de NFC-chip en slaan geheimen op die beschikbaar zouden moeten zijn in LPM”, aldus de onderzoekers.
“Omdat LPM-ondersteuning in hardware is geïmplementeerd, kan deze niet worden verwijderd door softwarecomponenten te wijzigen. Als gevolg hiervan kan op moderne iPhones niet meer worden vertrouwd dat draadloze chips worden uitgeschakeld na het afsluiten. Dit vormt een nieuw dreigingsmodel.”
De bevindingen zullen zijn: gepresenteerd op de ACM Conference on Security and Privacy in Wireless and Mobile Networks (WiSec 2022) deze week.
De LPM-functies, vorig jaar nieuw geïntroduceerd met iOS 15, maken het mogelijk om verloren apparaten op te sporen met behulp van het Find My-netwerk. Huidige apparaten met ondersteuning voor ultrabreedband erbij betrekken iPhone 11, iPhone 12 en iPhone 13.
Er wordt een bericht weergegeven bij het uitschakelen van iPhones leest zo:: “iPhone blijft vindbaar na het uitschakelen. Zoek mijn helpt u deze iPhone te lokaliseren wanneer deze verloren of gestolen is, zelfs wanneer deze in de energiereservemodus staat of uitgeschakeld is.”
Door de huidige LPM-implementatie “ondoorzichtig” te noemen, constateerden de onderzoekers niet alleen soms fouten bij het initialiseren van Zoek mijn-advertenties tijdens het uitschakelen, wat in feite in tegenspraak was met het bovengenoemde bericht, ze ontdekten ook dat de Bluetooth-firmware niet ondertekend of gecodeerd is.
Door gebruik te maken van deze maas in de wet, kan een tegenstander met bevoorrechte toegang malware maken die kan worden uitgevoerd op een iPhone Bluetooth-chip, zelfs als deze is uitgeschakeld.
Om zo’n firmware-compromis te laten plaatsvinden, moet de aanvaller echter in staat zijn om via het besturingssysteem met de firmware te communiceren, de firmware-image te wijzigen of de uitvoering van code op een LPM-compatibele chip over-the-air te verkrijgen door gebruik te maken van fouten zoals RemTand.
Anders gezegd, het idee is om de LPM-toepassingsthread te wijzigen om malware in te sluiten, zoals diegene die de kwaadwillende actor zou kunnen waarschuwen voor de Find My Bluetooth-uitzendingen van een slachtoffer, waardoor de bedreigingsactor het doelwit op afstand in de gaten kan houden.
“In plaats van de bestaande functionaliteit te veranderen, konden ze ook volledig nieuwe functies toevoegen”, merkten SEEMOO-onderzoekers op, eraan toevoegend dat ze op verantwoorde wijze alle problemen aan Apple hadden onthuld, maar dat de techgigant “geen feedback had”.
Met LPM-gerelateerde functies die een meer onopvallende benadering hebben om de beoogde gebruiksscenario’s uit te voeren, riep SEEMOO Apple op om een hardwarematige schakelaar op te nemen om de batterij los te koppelen om eventuele bewakingsproblemen die zouden kunnen voortvloeien uit aanvallen op firmwareniveau te verlichten.
“Aangezien LPM-ondersteuning is gebaseerd op de hardware van de iPhone, kan deze niet worden verwijderd met systeemupdates”, aldus de onderzoekers. “Het heeft dus een langdurig effect op het algehele iOS-beveiligingsmodel.”
“Ontwerp van LPM-functies lijkt vooral te worden aangedreven door functionaliteit, zonder rekening te houden met bedreigingen buiten de beoogde applicaties. Find My after power off maakt het afsluiten van iPhones door ontwerp tot tracking-apparaten, en de implementatie binnen de Bluetooth-firmware is niet beveiligd tegen manipulatie.”
