Georgia Tech’in siber güvenlik profesörleri Daniel Genkin ve Jason Kim, Michigan Üniversitesi’nden Stephan van Schaik ve Ruhr Üniversitesi Bochum’dan Yuval Yarom’dan oluşan bir araştırmacı ekibi, Apple cihazlarında keşfettikleri ve Mac’leri ve iPhone’ları etkileyen bir güvenlik açığını açıklayan bir araştırma makalesi yayınladı.
Araştırmacılar, “iLeakage: Apple Cihazlarında Tarayıcı Tabanlı Zamansız Spekülatif Yürütme Saldırıları” başlıklı makalede, iLeakage olarak adlandırılan güvenlik açığının 2020’den bu yana Mac’leri ve iPhone’ları etkilediğini açıkladı. Saldırı, esas olarak Apple’ın Arm’ı ile oluşturulmuş cihazları etkiliyor. tabanlı A serisi ve M serisi çipler.
Araştırmacılar, CPU’lardaki bir yan kanal güvenlik açığından yararlanarak Apple’ın Safari tarayıcısını şifreleri, Gmail içeriğini ve diğer hassas verileri ifşa etmeye zorlayan bir saldırı tasarladılar.
Bu güvenlik açığı, altı yılı aşkın bir süredir CPU’larda kullanılan mevcut bir saldırı tekniğinden kaynaklanmaktadır. 2018 yılında güvenlik araştırmacıları, işlemcideki Spekülatif Yürütme adı verilen entegre bir özellikten yararlanılarak tüm modern CPU’ların hassas verileri sızdırmak amacıyla kullanılabileceğini bildirmişti.
Bu teknikte modern CPU’lar, gerekli olduğunu bilmeden talimatları uygulayarak performansı artırmaya çalışır. iLeakage, Apple cihazlarındaki zamansız spekülatif yürütme kusurundan yararlanan tarayıcı tabanlı bir saldırıdır. Zamanlayıcısız spekülatif yürütme, CPU’nun talimatları herhangi bir süre çalışmadan yürütmesine olanak tanır. Saldırganlar, tespit edilmeden kötü amaçlı işlemler gerçekleştirmek için bu durumdan yararlanabilirler.
iLeakage saldırılarında olan şey, CPU’nun, bellekten hassas verileri okuyan spekülatif kodu çalıştırması için kandırılmasıdır. Saldırgan, kullanıcıyı uyarmadan bu verileri sızdırabilir. Bu tehlikeli bir saldırıdır çünkü saldırganlar, kurbanın kötü amaçlı bağlantılara tıklamasına veya virüslü belgeleri/ekleri açmasına gerek kalmadan bu saldırıları gerçekleştirebilir.
Kusur, Safari tarayıcısının JavaScript zamanlayıcılarını işleme biçiminde mevcuttur. Bu, saldırganların kötü amaçlı JavaScript kodu oluşturmasına ve bunu cihazdaki hassas verileri çalmak için kullanmasına olanak tanır. Çalınan veriler arasında şifreler, PII (kişisel kimlik bilgileri) ve kredi kartı numaraları bulunabilir. Saldırganlar bu verileri kullanarak kimlik hırsızlığı ve dolandırıcılık gibi suçlar işleyebilir.
Araştırmacılar, iLeakage saldırılarının şu anda Safari çalıştıran Apple cihazlarda etkili olduğunu kaydetti. Ancak diğer platformlar veya tarayıcılar da saldırıya açık olabilir. Bu nedenle iLeakage saldırılarını önlemek için dikkatli olmak önemlidir. Yazılımınızı her zaman güncel tutun ve spekülatif yürütme saldırılarını tespit edebilen/engelleyebilen bir güvenlik çözümü kullanın.
Bulgular 12 Eylül 2022’de Apple’a açıklandı. Şirket bu sorunu kabul etti ve Apple’ın Ürün Güvenliği ekibi ile Safari tarayıcı geliştirme ekibi, karşı önlemler geliştirmek için araştırmacılarla işbirliği yaptı. Sonuç olarak Apple, Safari’nin çoklu işlem mimarisini yeniden düzenledi. Bu değişiklikler şu anda aktif olarak geliştirilme aşamasındadır ve Safari Technology Preview sürüm 173 ve üzeri sürümlerde mevcuttur.
Apple, window.open() ile başlatılan sayfalar için yeni süreçler oluşturmak üzere yeni bir süreçler arası iletişim API’si yayınladı. Araştırmacılar, yamanın güvenlik sınırlarını aşan etki alanlarının birleştirilmesini önleyerek iLeakage saldırılarını azalttığını doğruladı ancak bazı sınırlamaları var.
“Bu yamanın, etki alanlarının güvenlik sınırlarının ötesinde birleştirilmesini önleyerek saldırımızı azalttığını deneysel olarak doğruladık. Bu, spekülatif JavaScript sanal alanından kaçmak hâlâ mümkün olsa da, bir saldırganın yalnızca kendi adres alanını ve dolayısıyla kendi verilerini okuyabileceği anlamına geliyor.”
Raporun tamamına buradan (PDF) erişilebilir ve iLeakage saldırısını gösteren özel bir site de mevcuttur.
Bu araştırmayla ilgili olarak Mountain View, Kaliforniya merkezli tarayıcı güvenliği sağlayıcısı Menlo Security’nin Baş Güvenlik Mimarı Lionel Litty, bu saldırının tarayıcıların yeni işletim sistemi olduğunu gösterdiğini belirtti.
“Bu saldırı, hem saldırganlar hem de savunucular için tarayıcının, uygulamalar ve iş parçacıkları gibi işletim sistemi temel öğelerine paralel olan kökenler ve web çalışanları gibi web temel öğeleriyle birlikte yeni işletim sistemi olduğunu gösteriyor. Güvenlik uygulayıcılarının kendilerini bu saldırı yüzeyi konusunda eğitmeleri gerekiyor.”
Mountain View, California merkezli otomatik IoT siber hijyen sağlayıcısı Viakoo’nun Viakoo Laboratuvarları Başkan Yardımcısı John Gallagher, bu saldırı yönteminin, tehditlerin sürekli olarak geliştiğinin farkına varılması kadar önemli olmadığını belirtti.
“Önemli olan bunun mutlaka bir saldırı yöntemi olması değil, daha çok tehditlerin hız ve güvenlik arasındaki değiş tokuşa dayalı olarak nasıl geliştiğidir. CPU yürütmesini hızlandırmak için bilgilerin önceden getirilmesi bir süredir ortalıkta dolaşıyor ve bir süredir aynı şekilde istismar ediliyor. Bu sadece bir başka “kısasa kısas” ve gelecekteki CPU geliştirmelerinde düzeltilecek.”
Ancak Gallagher, bu saldırıda kuruluşların yüksek risk altında olmadığını, çünkü bu saldırının yüksek derecede karmaşıklık gerektirdiğini ve vahşi ortamda istismar edildiğine dair herhangi bir rapor bulunmadığını iddia ediyor.
“Bu saldırı yönteminin tehdit aktörü tarafından yüksek derecede karmaşıklık gerektirdiği ve henüz açık alanda istismar edilmediği (veya en azından rapor edilmediği) göz önüne alındığında, kuruluşlar yüksek risk altında değildir. Gallagher, ilgili kuruluşların (veya yüksek değerli bireysel hedeflerin) kilitleme modunu etkinleştirmeyi veya mevcut MacOS (kararsız) yamasını kullanmayı düşünmesi gerektiğini belirtti.