En un estudio reciente, un grupo de académicos ha presentado iLeakage, un innovador ataque de canal lateral que aprovecha una vulnerabilidad en el sistema A de Apple- y CPU de la serie M, afectando a iOS, iPadOS, y dispositivos macOS. Este ataque permite la extracción de información confidencial del navegador web Safari..
Los investigadores, incluidos Jason Kim y Stephan van Schaik, descubrió que los atacantes pueden inducir a Safari a mostrar una página web, posteriormente extraer información confidencial mediante ejecución especulativa. Este novedoso método, el primero de su tipo contra las CPU Apple Silicon, no solo funciona en Safari sino que también afecta a todos los navegadores web de terceros para iOS y iPadOS, Cumplir con la política de la App Store de Apple..
Entendiendo iLeakage
El meollo del problema reside en la ejecución especulativa, un mecanismo de optimización del rendimiento en las CPU modernas. A pesar de ser el foco de vulnerabilidades anteriores como Spectre, iLeakage utiliza un enfoque sin temporizador y agnóstico de la arquitectura, aprovechar las condiciones de carrera para distinguir los aciertos y errores de caché.
iLeakage no sólo supera las medidas de endurecimiento de Apple sino que también establece un canal encubierto basado en un dispositivo que logra una lectura fuera de límites en el proceso de renderizado de Safari., resultando en fuga de información. Esta infracción elude las protecciones de aislamiento, mostrando la sofisticación de la vulnerabilidad.
La bandeja de entrada de Gmail y las contraseñas autocompletadas corren el riesgo de sufrir iLeakage
En un escenario práctico, Esta debilidad podría explotarse utilizando una página web maliciosa para recuperar el contenido de la bandeja de entrada de Gmail e incluso extraer contraseñas que los administradores de credenciales autocompletan., destacando la gravedad de la vulnerabilidad.
Apple fue alertada sobre estos hallazgos en septiembre 12, 2022. La vulnerabilidad afecta a todos los dispositivos Apple lanzados desde 2020 que funcionan con procesadores ARM de las series A y M.
Amenazas del mundo real y vulnerabilidades continuas del hardware
Si bien la probabilidad de que se produzcan ataques prácticos en el mundo real es baja debido a la experiencia técnica necesaria, La investigación de iLeakage subraya las amenazas persistentes que plantean las vulnerabilidades del hardware.. Esta revelación sigue a una serie de ataques de canal lateral y al descubrimiento de RowPress., enfatizando los desafíos actuales para proteger el hardware a pesar de los avances en ciberseguridad.
En un panorama donde las vulnerabilidades del hardware continúan apareciendo, La revelación de iLeakage refuerza la importancia de las prácticas vigilantes de ciberseguridad y la necesidad de realizar esfuerzos continuos para abordar las posibles amenazas a los datos y la privacidad de los usuarios..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: