Spywareleverandører udnytter Zero-Days i iOS og Android

Googles trusselsanalysegruppe (TAG) for nylig afsløret, at to separate kampagner blev gennemført sidste år for at udnytte en række zero-day og n-dages sårbarheder på Android- og iOS-enheder.

Hvad er en n-dages sårbarhed? En N-dages udnyttelse er en sårbarhed, der allerede er blevet udnyttet og har en patch til rådighed til at rette den. Dette er anderledes end en nul-dages udnyttelse, hvilket er en sårbarhed, der er nyopdaget og endnu ikke er blevet rettet af leverandøren.

Disse kampagner, udført af kommercielle spyware-leverandører, var begrænsede og meget målrettede, udnytter tiden mellem hvornår en rettelse blev frigivet, og hvornår den blev implementeret på de målrettede enheder. Men, størrelsen og detaljerne af disse kampagner er stadig ukendt.

Spywareleverandører og Zero-Day-udnyttelse

TAG har overvåget personer, der er involveret i informationsoperationer, regeringsstøttede angreb, og økonomisk drevet misbrug i årevis. For nylig, TAG har holdt godt øje med mere end 30 kommercielle spyware-leverandører på forskellige niveauer af færdigheder og synlighed, som sælger udnyttelses- og overvågningsevner til regeringsstøttede enheder.

Sådanne leverandører gør det lettere for offentlige enheder at få hacking-værktøjer, som de ellers ikke ville være i stand til at udvikle selv. Også selvom brugen af overvågningsteknologi kan være tilladt i henhold til visse love, disse værktøjer bruges regelmæssigt af regeringer til at målrette mod dissidenter, journalister, menneskerettighedsaktivister, og politiske personer i oppositionen, TAGs Clement Lecigne skrev i et blogindlæg.

i november 2022, TAG afslørede angrebskæder med 0-dage, der påvirkede Android- og iOS-enheder, som blev sendt ud til brugere i Italien, Malaysia, og Kasakhstan via bit.ly-links sendt via SMS. Når der klikkes, disse links vil føre besøgende til sider, der indeholder udnyttelser, der er specielt designet til Android eller iOS, før du omdirigerer dem til legitime websteder såsom siden til at spore forsendelser til BRT, en italiensk-baseret forsendelses- og logistikvirksomhed, eller et velkendt malaysisk nyhedswebsted.

iOS-udnyttelseskæden

iOS-udnyttelseskæden blev sat mod OS-versioner før 15.1 og inkluderet CVE-2022-42856, en nul-dages WebKit fjernudførelse af kodesårbarhed på grund af et typeforvirringsproblem i JIT-kompileren. Udnyttelsen brugte DYLD_INTERPOSE PAC bypass-teknikken, som blev rettet af Apple i marts 2022. Den samme teknik blev brugt i Cytrox' bedrifter, som bemærket i Citizenlabs blogindlæg om Predator. Begge bedrifter indeholdt “make_bogus_transform” fungere som en del af PAC bypass.

En anden udnyttet nul-dag er CVE-2021-30900, en sandbox-escape- og privilegie-eskaleringsfejl i AGXAccelerator, som blev rettet af Apple i 15.1 opdatering. Denne fejl var tidligere blevet dokumenteret i en udnyttelse af oob_timestamp udgivet på Github i 2020.

Android-udnyttelseskæden

Kæden af Android-udnyttelser var målrettet mod brugere med ARM GPU'er, der tidligere kørte Chrome-versioner 106. Kæden er sammensat af tre bedrifter, inklusive en nul-dag: CVE-2022-3723, en typeforvirringssårbarhed opdaget af Avast i naturen, og fastsat i oktober 2022 som en del af versionen 107.0.5304.87. CVE-2022-4135 er en Chrome GPU-sandbox-bypass, der kun påvirkede Android, som blev klassificeret som en nul-dag på tidspunktet for udnyttelsen og blev lappet i november 2022. CVE-2022-38181 blev også brugt, en privilegie-eskaleringsfejl, der blev rettet af ARM i august 2022. Det er stadig uvist, om angribere havde en udnyttelse af denne sårbarhed, før den blev rapporteret til ARM.

Det er bemærkelsesværdigt, at brugere blev omdirigeret til Chrome ved hjælp af Intent Redirection, hvis de kom fra Samsungs internetbrowser. Dette er det modsatte af, hvad vi har set angribere gøre tidligere, som i tilfældet med CVE-2022-2856, hvor brugerne blev omdirigeret fra Chrome til Samsungs internetbrowser. Nyttelasten for denne udnyttelseskæde var ikke tilgængelig.

Da ARM udgav en rettelse til CVE-2022-38181, mange leverandører undlod med det samme at inkorporere patchen, gør det muligt at udnytte fejlene. Dette blev for nylig påpeget af blogindlæg fra Project Zero og Github Security Lab.
Det er vigtigt at bemærke, at Pixel-enheder med 2023-01-05 sikkerhedsopdatering og Chrome-brugere opdateret til version 108.0.5359 er beskyttet mod begge udnyttelseskæder, TAG bemærkes.