Un nuovo attacco iLeakage, che prende di mira la microarchitettura della Cpu, su Apple Safari, per rubare email e password dal browser per Mac, iPhone e iPad.
“La prima cosa da evidenziare è che, sebbene l’attacco Spectre a cui iLeakage si ispira, sia stato mitigato da anni, è ancora possibile sfruttare attacchi side-channel che prendono di mira direttamente l’implementazione di un sistema informatico per attaccarlo”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “In questo caso l’attacco consente di rubare informazioni sensibili agli utenti senza che la vittima se ne accorga“.
“La vulnerabilità di iLeakage rende chiaro come siano ancora estremamente attuali e pericolose le vulnerabilità a livello hardware“, conferma Riccardo Michetti, Senior SOC Analyst and Cyber Threat Analyst Swascan: “Pur essendo di difficile realizzazione, l’exploit potrebbe facilmente aprire nuovi scenari di attacco per l’esfiltrazione di informazioni sensibili”.
Ecco come proteggersi da un attacco “particolarmente insidioso, complesso e che ha richiesto un lavoro mirabile di reverse engineering da parte dei ricercatori”, come spiega Cristina Spagnoli, Head of GRC & Strategic Consulting di Swascan.
Il video mostra il recupero dei messaggi Gmail in Safari su un iPad utilizzando questa tipologia di attacco.
Indice degli argomenti
Attacco iLeakage su Apple Safari: a rischio furto email e password
Ricercatori universitari hanno creato un nuovo “attacco speculativo side-channel”, noto come iLeakage, che funziona su tutti i recenti dispositivi Apple. Il nuovo iLeakage è in grado di estrarre informazioni sensibili da Safari, il browser di Apple.
iLeakage dimostra per la prima volta la possibilità di un attacco di “esecuzione speculativa” contro le CPU Apple Silicon e il browser Safari. Può servire a recuperare con “precisione quasi chirurgica” dati da Safari, oltre che da Firefox, Tor e Microsoft Edge sulla piattaforma Apple iOS.
“La gravità di questa minaccia”, mette in guardia Mario Cambria, Senior SOC Analyst Swascan, “risiede nel fatto che un attaccante può utilizzare l’esecuzione speculativa, una tecnica per migliorare le prestazioni dei moderni processori, per recuperare dati sensibili“.
Si tratta di un attacco Spectre timerless in grado di bypassare le protezioni standard side-channel implementate da tutti i vendor di browser.
Un team di accademici del Georgia Tech, dell’Università del Michigan e della Ruhr University Bochum hanno sviluppato iLeakage, esaminando la resilienza dei canali laterali di Safari. Così sono riusciti ad aggirare le contromisure esistenti attraverso un metodo timerless e indipendente dall’architettura, basato sulle condizioni di gara.
“Questo può includere il contenuto della casella di posta elettronica e le password di accesso memorizzate nei browser”, avverte Mario Cambria, “tutto questo di nascosto, quando la vittima visita una pagina web malevola”.
I dettagli
I ricercatori si sono focalizzati sulla lettura di informazioni sensibili da Safari, riuscendo a rubare i dati grazie a una primitiva in grado di leggere in maniera speculativa e facendo trapelare qualsiasi puntatore a 64 bit nello spazio degli indirizzi che il browser di Apple utilizza per il processo di rendering.
Hanno così ottenuto questo risultato, superando le protezioni side-channel implementate da Apple nel suo browser, per esempio il timer a bassa risoluzione, l’indirizzamento compresso a 35 bit e il avvelenamento di valore (value poisoning).
I ricercatori hanno aggirato, inoltre, il criterio di isolamento dei siti web in Safari, che separa i siti in spazi di indirizzi diversi sulla base del loro dominio di primo livello effettivo (eTLD) più un sottodominio.
Sfruttando l’API JavaScript window.open, hanno utilizzato una nuova tecnica che consente a una pagina di un aggressore di condividere lo stesso spazio di indirizzi di pagine arbitrarie della vittima.
Attraverso la “speculative type confusion” per aggirare le contromisure di Apple per l’indirizzamento compresso a 35-bit e l’avvelenamento dei valori, i ricercatori potrebbero far trapelare dati sensibili dalla pagina di destinazione, comprese password ed email.
Il codice di prova dell’attacco è in JavaScript e WebAssembly, i due linguaggi di programmazione per creare contenuti web dinamici.
I ricercatori hanno utilizzato lo stesso metodo per recuperare la password di un account di prova di Instagram, compilata automaticamente nel browser web Safari utilizzando il servizio di gestione delle password LastPass.
In un altro test, i ricercatori hanno dimostrato come gli attacchi di iLeakage funzionino anche su Chrome per iOS e sono riusciti a recuperare la cronologia di YouTube.
I ricercatori spiegano che la politica di Apple obbliga tutti i browser iOS di terze parti a sovrapporsi a Safari e a utilizzare il motore JavaScript del browser Apple.
Le cpu M1 e M2
iLeakage sfrutta l’esecuzione speculativa nei chip Apple Silicon (M1 ed M2), in cui l’esecuzione predittiva della CPU esegue i compiti con maggiore probabilità di essere necessari, ma prima di sapere se lo sono o meno.
“Molti attacchi di side-channel, compreso iLeakage, prendono di mira la microarchitettura della CPU e non falle nelle applicazioni“, spiega Paganini: “Il principio si basa sulla condivisione dell’ambiente di esecuzione della CPU da parte di applicazioni legittime e codice malevolo degli attaccanti. La condivisione delle risorse interne della CPU, quali buffer e cache, induce dei conflitti che possono essere misurati dagli attaccanti per determinare le informazioni sensibili gestite dalle applicazioni legittime, anche qualora esse siano contenute in enclave ritenute sicure”.
Questo meccanismo, presente in tutte le CPU moderne, migliora notevolmente le prestazioni. Tuttavia, i difetti di progettazione possono causare fughe di dati, come dimostrato dagli attacchi Meltdown e Spectre resi noti quasi sei anni fa.
Questo attacco è “esemplificativo di come nessuna Cpu e nessun hardware in genere possa dirsi sicuro”, ritiene Cristina Spagnoli, “così come non si può definire sicura la security by obscurity, ed il lavoro di reverse engineering fatto lo testimonia. Noterei anche che i ricercatori, molto responsabilmente, hanno atteso oltre 400 giorni prima di pubblicare la vulnerabilità, per dare il tempo al vendor di pensare ad una remediation.
Maggiori dettagli sull’attacco e sui singoli metodi utilizzati per aggirare le mitigazioni di Apple sono disponibili nel documento tecnico che i ricercatori hanno pubblicato.
Come proteggersi dall’attacco iLeakage su Apple Safari
Il requisito fondamentale perché l’attacco funzioni è che l’utente vittima interagisca con la pagina dell’attaccante. Ancora una volta l’anello debole è il fattore umano. Dunque, la migliore arma di difesa sono la consapevolezza dei rischi e la postura di sicurezza. “Per proteggersi”, infatti, secondo Riccardo Michetti, “rimane fondamentale la formazione dell’utente all’utilizzo di tutte quelle best practice più comuni e diventa essenziale un approccio Zero-Trust su tutto ciò che riceviamo quotidianamente nei vari canali di comunicazione”.
iLeakage colpisce tutti i dispositivi Apple rilasciati a partire dal 2020, equipaggiati con processori ARM della serie A e della serie M di Apple.
L’attacco è in gran parte impercettibile, senza lasciare tracce sul sistema della vittima sotto forma di registri, a parte forse una voce della pagina web dell’attaccante nella cache del browser.
Tuttavia, i ricercatori sottolineano che l’attacco è difficile da portare a termine “e richiede una conoscenza avanzata degli attacchi side-channel basati sul browser e dell’implementazione di Safari”. Infatti “la buona notizia”, conclude Paganini, “è che sebbene l’attacco iLeakage sia difficile da rilevare, è molto complesso da condurre”.
I ricercatori hanno segnalato iLeakage privatamente ad Apple il 12 settembre 2022. L’azienda ha sviluppato le seguenti mitigazioni per macOS:
- aprire il Terminale ed eseguire ‘defaults write com.apple.Safari IncludeInternalDebugMenu 1’ per abilitare il menu di debug nascosto di Safari;
- aprire Safari e andare al menu Debug appena visibile;
- selezionare ‘Caratteristiche interne di WebKit’;
- scorrere ed attivare ‘Scambia i processi all’apertura di una finestra cross-site’.
“Gli impatti di questo attacco, come i ricercatori hanno dimostrato, sono notevoli: Apple ha messo a punto una mitigazione che pare non essere applicata di default. Consiglio di fare riferimento al sito https://ileakage.com, per capire gli step indicati dai ricercatori per applicarla”, spiega l’Head of GRC & Strategic Consulting di Swascan.
“Questa minaccia”, inoltre, “sottolinea le sfide continue nella protezione dei processori moderni, che rimangono vulnerabili agli attacchi ‘side-channel’ nonostante i tentativi di mitigazione”, conclude Mario Cambria: “Evidenzia infine l’evoluzione costante delle minacce informatiche e quanto sia importante la ricerca nella cyber security per proteggere i dati e la privacy degli utenti”.