iLeakage: новая атака на Apple может привести к массовым утечкам данных

Ученые разработали атаку, которая заставляет браузер Safari раскрывать пароли, содержание сообщений Gmail и другие секреты, эксплуатируя уязвимость в процессорах серий A и M, использующихся в современных устройствах iOS и macOS .

Атака по сторонним каналам (Side-channel attack), получившая название iLeakage, вполне практична и требует минимальных ресурсов для выполнения, но предполагает глубокое изучение аппаратных средств Apple и опыт эксплуатации уязвимостей в практической реализации криптосистемы. Основной механизм уязвимости связан со спекулятивным выполнением – функцией, предназначенной для увеличения производительности современных процессоров.

Атака iLeakage реализована в виде веб-сайта, на котором также представлены видео с демонстрацией разных вариантов атаки. Когда пользователь уязвимого устройства на macOS или iOS посещает сайт, iLeakage с помощью JavaScript тайно открывает другой сайт на выбор злоумышленника и восстанавливает содержание сайта, отображенное во всплывающем окне. Исследователи успешно использовали iLeakage для получения истории просмотров на YouTube , содержимого почтового ящика Gmail и автоматически заполняемых паролей.

Страница входа Google – учетные данные автоматически заполняются менеджером паролей (сверху). Учётные данные похищаются злоумышленником (снизу).

Хотя iLeakage работает на Mac только при использовании Safari, iPhone и iPad могут подвергаться атаке при использовании любого браузера, так как все они основаны на движке Apple WebKit. Представитель Apple заявил, что компания осведомлена о данной уязвимости и планирует устранить ее в предстоящем обновлении программного обеспечения.

Особенности WebKit и структура процессоров A- и M-серий позволили обойти существующие защитные меры, предназначенные для защиты от атак на спекулятивное выполнение. Слабые места в реализации защиты позволили iLeakage преодолеть её.

iLeakage демонстрирует несколько новых возможностей:

• способность обойти защиту с помощью Safari на чипах серии A и M, эксплуатируя уязвимость, связанную с путаницей типов;
• второй вариант не зависит от времени, а опирается на так называемое состояние гонки;
• уникальная способность WebKit объединять веб-сайты из разных доменов в один и тот же процесс рендеринга с использованием общего метода JavaScript «window.open».

Для того чтобы атака сработала, уязвимый компьютер должен сначала посетить веб-сайт iLeakage. При одновременном входе в свою учетную запись на скомпрометированном веб-сайте и на сайте злоумышленника потребуется около 5 минут для анализа посещающего устройства. Затем iLeakage может заставить браузер открыть любой другой сайт и начать передавать определенные данные со скоростью от 24 до 34 бит в секунду.

Кража паролей Instagram* и LastPass

Несмотря на техническую сложность и необходимость глубоких знаний для реализации атаки, вероятность того, что данная уязвимость будет использоваться в реальных атаках в ближайшее время, крайне мала. Ожидается, что Apple выпустит исправление до того, как атака iLeakage станет реальной угрозой.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.