Cyberthreat.id - Serangan spyware Operasi Triangulasi yang menargetkan perangkat Apple iOS memanfaatkan eksploitasi yang belum pernah dilihat sebelumnya. Bahkan memungkinkan untuk menerobos perlindungan keamanan berbasis perangkat keras penting yang dibuat oleh Apple.

Perusahaan keamanan siber Rusia Kaspersky, yang menemukan kampanye tersebut pada awal tahun 2023 setelah menjadi salah satu targetnya, menggambarkannya sebagai “rantai serangan paling canggih” yang pernah diamati hingga saat ini. Kampanye tersebut diyakini telah aktif sejak 2019.

Menurut The Hacker News, aktivitas eksploitasi tersebut melibatkan penggunaan empat kelemahan zero-day yang dibentuk menjadi sebuah rantai untuk mendapatkan tingkat akses yang belum pernah terjadi sebelumnya dan perangkat target pintu belakang yang menjalankan versi iOS hingga iOS 16.2 dengan tujuan akhir mengumpulkan informasi sensitif.

Titik awal serangan zero-click adalah iMessage yang memuat lampiran berbahaya, yang secara otomatis diproses tanpa interaksi pengguna apa pun untuk akhirnya mendapatkan izin yang lebih tinggi dan menyebarkan modul spyware. Secara khusus, ini melibatkan penggunaan kerentanan berikut:

CVE-2023-41990 - Cacat pada komponen FontParser yang dapat menyebabkan eksekusi kode arbitrer saat memproses file font yang dibuat khusus, yang dikirim melalui iMessage. (Ditujukan di iOS 15.7.8 dan iOS 16.3)

CVE-2023-32434 - Kerentanan integer overflow di Kernel yang dapat dieksploitasi oleh aplikasi jahat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel. (Ditujukan di iOS 15.7.7, iOS 15.8, dan iOS 16.5.1 )

CVE-2023-32435 - Kerentanan kerusakan memori di WebKit yang dapat menyebabkan eksekusi kode arbitrer saat memproses konten web yang dibuat khusus. (Ditujukan di iOS 15.7.7 dan iOS 16.5.1)

CVE-2023-38606 - Masalah di kernel yang memungkinkan aplikasi jahat mengubah status kernel sensitif. (Ditujukan di iOS 16.6)

Perlu dicatat bahwa patch untuk CVE-2023-41990 dirilis oleh Apple pada Januari 2023, meskipun rincian mengenai eksploitasi tersebut baru dipublikasikan oleh perusahaan pada 8 September 2023, pada hari yang sama Apple mengirimkan iOS 16.6.1 untuk menyelesaikan dua masalah lainnya. Kelemahan (CVE-2023-41061 dan CVE-2023-41064) secara aktif disalahgunakan sehubungan dengan kampanye spyware Pegasus.

Hal ini juga menambah jumlah zero-day yang dieksploitasi secara aktif yang diselesaikan oleh Apple sejak awal tahun menjadi 20.

Dari empat kerentanan tersebut, CVE-2023-38606 patut mendapat perhatian khusus karena memfasilitasi bypass perlindungan keamanan berbasis perangkat keras untuk wilayah sensitif memori kernel dengan memanfaatkan register I/O yang dipetakan memori (MMIO), sebuah fitur yang tidak pernah ada sebelumnya.

Eksploitasi tersebut, khususnya, menargetkan SoC Bionic Apple A12-A16, memilih blok register MMIO yang tidak diketahui milik koprosesor GPU. Saat ini tidak diketahui bagaimana pelaku ancaman misterius di balik operasi tersebut mengetahui keberadaannya. Juga tidak jelas apakah itu dikembangkan oleh Apple atau merupakan komponen pihak ketiga seperti ARM CoreSight.

Dengan kata lain, CVE-2023-38606 adalah mata rantai penting dalam rantai eksploitasi yang terkait erat dengan keberhasilan kampanye Operasi Triangulasi, mengingat fakta bahwa hal ini memungkinkan pelaku ancaman mendapatkan kendali penuh atas sistem yang disusupi.

“Dugaan kami adalah bahwa fitur perangkat keras yang tidak diketahui ini kemungkinan besar dimaksudkan untuk digunakan untuk tujuan debugging atau pengujian oleh para insinyur Apple atau pabrik, atau dimasukkan secara tidak sengaja,” kata peneliti keamanan Boris Larin.

"Karena fitur ini tidak digunakan oleh firmware, kami tidak tahu bagaimana penyerang mengetahui cara menggunakannya."

“Keamanan perangkat keras seringkali bergantung pada 'keamanan melalui ketidakjelasan', dan jauh lebih sulit untuk melakukan rekayasa balik dibandingkan perangkat lunak, namun ini adalah pendekatan yang cacat, karena cepat atau lambat, semua rahasia akan terungkap. Sistem yang mengandalkan 'keamanan melalui ketidakjelasan" tidak akan pernah benar-benar aman."

Perkembangan ini terjadi ketika Washington Post melaporkan bahwa peringatan Apple pada akhir Oktober tentang bagaimana jurnalis dan politisi oposisi India mungkin menjadi sasaran serangan spyware yang disponsori negara mendorong pemerintah mempertanyakan kebenaran klaim tersebut dan menggambarkannya sebagai kasus “algoritmik”.

Selain itu, pejabat senior pemerintah menuntut perusahaan tersebut untuk melunakkan dampak politik dari peringatan tersebut dan menekan perusahaan tersebut untuk memberikan penjelasan alternatif mengapa peringatan tersebut dikirimkan. Sejauh ini, India tidak membenarkan atau membantah penggunaan spyware seperti yang dilakukan oleh Pegasus dari NSO Group.

Mengutip orang-orang yang mengetahui masalah ini, Washington Post mencatat bahwa "Pejabat India meminta Apple untuk mencabut peringatan tersebut dan mengatakan bahwa mereka telah melakukan kesalahan," dan bahwa "Eksekutif komunikasi korporat Apple India mulai secara pribadi meminta jurnalis teknologi India untuk menekankan cerita mereka. []

 

Slot Gacor Terbaru 2024