iPhone

Pesquisadores criam malware para iPhone que funciona mesmo quando o dispositivo está desligado

Pesquisadores criam malware para iPhone que funciona mesmo quando o dispositivo está desligado

Classen et ai.

Quando você desliga um iPhone, ele não desliga totalmente. Os chips dentro do dispositivo continuam a funcionar em um modo de baixo consumo de energia que possibilita localizar dispositivos perdidos ou roubados usando o recurso Find My ou usar cartões de crédito e chaves do carro depois que a bateria acaba. Agora, os pesquisadores criaram uma maneira de abusar desse mecanismo sempre ativo para executar malware que permanece ativo mesmo quando um iPhone parece estar desligado.

Acontece que o chip Bluetooth do iPhone – que é fundamental para fazer com que recursos como o Find My funcionem – não tem mecanismo para assinar digitalmente ou mesmo criptografar o firmware que ele executa. Acadêmicos da Universidade Técnica de Darmstadt, na Alemanha, descobriram como explorar essa falta de proteção para executar firmware malicioso que permite ao invasor rastrear a localização do telefone ou executar novos recursos quando o dispositivo está desligado.

Esse vídeo fornece uma visão geral de algumas das maneiras pelas quais um ataque pode funcionar.

[Paper Teaser] O mal nunca dorme: quando o malware sem fio permanece ligado após desligar os iPhones

A pesquisa é a primeira – ou pelo menos uma das primeiras – a estudar o risco representado por chips rodando no modo de baixo consumo de energia. Para não ser confundido com o modo de baixo consumo de energia do iOS para conservar a vida útil da bateria, o modo de baixo consumo de energia (LPM) nesta pesquisa permite que os chips responsáveis ​​pela comunicação de campo próximo, banda ultralarga e Bluetooth sejam executados em um modo especial que pode permanecer ligado por 24 horas após um dispositivo ser desligado.

“A implementação atual do LPM nos iPhones da Apple é opaca e adiciona novas ameaças”, escreveram os pesquisadores em um papel publicado na semana passada. “Como o suporte ao LPM é baseado no hardware do iPhone, ele não pode ser removido com atualizações do sistema. Assim, tem um efeito duradouro no modelo geral de segurança do iOS. Até onde sabemos, somos os primeiros a analisar os recursos LPM não documentados introduzidos no iOS 15 e descobrir vários problemas.”

Eles acrescentaram: “O design dos recursos do LPM parece ser principalmente impulsionado pela funcionalidade, sem considerar as ameaças fora dos aplicativos pretendidos. Find My após desligar transforma iPhones desligados em dispositivos de rastreamento por design, e a implementação dentro do firmware Bluetooth não é protegida contra manipulação.”

As descobertas têm um valor limitado no mundo real, já que as infecções exigiam um iPhone com jailbreak, o que por si só é uma tarefa difícil, principalmente em um ambiente adversário. Ainda assim, direcionar o recurso sempre ativo no iOS pode ser útil em cenários de pós-exploração por malware como o Pegasus, a sofisticada ferramenta de exploração de smartphones do NSO Group, com sede em Israel, que governos em todo o mundo empregam rotineiramente para espionar adversários. Também pode ser possível infectar os chips caso os hackers descubram falhas de segurança suscetíveis a explorações remotas semelhantes a esta que funcionou contra dispositivos Android.

Além de permitir que o malware seja executado enquanto o iPhone está desligado, as explorações direcionadas ao LPM também podem permitir que o malware opere com muito mais discrição, pois o LPM permite que o firmware conserve a energia da bateria. E, claro, as infecções de firmware já são extremamente difíceis de detectar devido ao conhecimento significativo e aos equipamentos caros necessários para isso.

Os pesquisadores disseram que os engenheiros da Apple revisaram seu artigo antes de ser publicado, mas os representantes da empresa nunca forneceram nenhum feedback sobre seu conteúdo. Os representantes da Apple não responderam a um e-mail pedindo comentários para esta história.

Em última análise, o Find My e outros recursos habilitados pelo LPM ajudam a fornecer segurança adicional, pois permitem que os usuários localizem dispositivos perdidos ou roubados e tranquem ou destranquem as portas do carro mesmo quando as baterias estão descarregadas. Mas a pesquisa expõe uma faca de dois gumes que, até agora, passou despercebida.

“Ataques de hardware e software semelhantes aos descritos, provaram ser práticos em um cenário do mundo real, portanto, os tópicos abordados neste documento são oportunos e práticos”, John Loucaides, vice-presidente sênior de estratégia da empresa de segurança de firmware Eclypsium. “Isso é típico para todos os dispositivos. Os fabricantes estão adicionando recursos o tempo todo e com cada novo recurso vem uma nova superfície de ataque.”