L'Étrange histoire d'un Carrier.app factice

Ian Beer de Google Project Zero a analysé une application iPhone malveillante qui a été chargée latéralement sur un appareil à l'aide d'un certificat d'entreprise. L'application contenait six exploits d'élévation de privilèges, dont cinq étaient bien connus et publics. Cependant, le sixième exploit était inconnu et ne suivait pas la structure typique des autres exploits. L'exploit inconnu semblait vérifier s'il s'exécutait sur un iPhone 12 ou 13 et contenait des messages de journal qui suggéraient qu'il attendait des primitives de lecture/écriture. L'analyse plus approfondie a révélé que l'exploit interagissait avec le coprocesseur d'affichage (DCP), un coprocesseur qui exécute son propre firmware et dispose d'une interface de procedure call à distance. Le DCP est un composant relativement inconnu, mais le projet Asahi Linux l'avait rétro-ingéniéré pour parler avec lui. Cependant, ils étaient limités à l'utilisation du firmware DCP d'Apple, ce qui limitait leur compréhension des internals du DCP. Beer a obtenu l'image de firmware DCP à partir d'une image système iPhone et a constaté qu'il s'agissait d'un binaire Mach-O entièrement étréci, ce qui rendait difficile la compréhension. Il a noté que la compromission du DCP pourrait avoir des conséquences significatives, compte tenu de son accès potentiel aux ressources système. L'analyse de l'exploit inconnu et du DCP est en cours, et les conclusions de Beer soulignent la complexité et les défis de la compréhension des architectures système-on-a-chip (SoC) modernes. La découverte du DCP et de ses vulnérabilités potentielles soulève des inquiétudes quant à la sécurité des appareils Apple et au besoin de poursuivre la recherche et l'analyse. L'application malveillante a probablement été distribuée via une campagne de phishing, où l'attaquant demandait au transporteur de désactiver la connexion de données mobile de la cible, puis envoyait un lien vers la fausse application par SMS. L'application était signée avec un certificat d'entreprise, ce qui lui permettait de contourner le processus de révision de l'App Store d'Apple. L'incident met en évidence les risques de chargement latéral des applications et la potentialité pour les acteurs malveillants d'exploiter les vulnérabilités des appareils Apple. Il souligne également l'importance de la poursuite de la recherche et de l'analyse pour identifier et atténuer les menaces de sécurité potentielles.